Utvecklare kan smyga in irriterande popup-annonser eller nätfiskeattacker i mobilappar via ett designfel i Android, enligt forskare.
LAS VEGAS–Forskare har upptäckt vad de menar är ett designfel i Android som skulle kunna användas av kriminella för att stjäla data via nätfiske eller av annonsörer för att få irriterande popup-annonser till telefoner.
Utvecklare kan skapa appar som verkar vara oskyldiga men som till exempel kan visa en falsk inloggningssida när användaren använder den legitima bankappen, säger Nicholas Percoco, senior vice president och chef för SpiderLabs på Trustwave, inför sin presentation av forskningen på hackerkonferensen DefCon idag.
För närvarande skickar appar som vill kommunicera med användaren medan en annan app visas bara en avisering till meddelandefältet högst upp på skärmen. Men det finns ett programmeringsgränssnitt i Androids Software Development Kit som kan användas för att flytta en viss app till förgrunden, säger han.
”Android låter dig åsidosätta standarden för (att trycka på) bakåtknapparna”, säger Sean Schulte, SSL-utvecklare (Secure Sockets Layer) på Trustwave.
”På grund av detta kan appen stjäla fokus och du kan inte trycka på bakåtknappen för att avsluta”, säger Percoco och tillägger att de har döpt problemet till Focus Stealing Vulnerability.
Forskarna har skapat ett proof-of-concept-verktyg som är ett spel men som också utlöser falska displayer för Facebook, Amazon, Google Voice och Googles e-postklient. Verktyget installerar sig självt som en del av en nyttolast i en legitim app och registrerar sig som en tjänst så att det kommer tillbaka när telefonen startas om, säger Percoco.
I en demo där en användare öppnar appen och ser inloggningsskärmen för Facebook, är den enda indikationen på att något konstigt har hänt en blipp på skärmen som är så snabb att många användare inte skulle märka det. Den falska skärmen ersätter helt den legitima, så en användare skulle inte kunna se att något inte stämmer.
Med detta designfel kan spel- eller apputvecklare skapa riktade popup-annonser, säger Percoco. Annonserna kan vara irriterande, som de flesta popup-fönster är, men de kan också vara riktade för att visa en annons när en konkurrents app används, tillade han.
”Så hela världen av annonser som slåss med varandra på skärmen är möjlig nu”, säger Percoco, som tillsammans med Christian Papathanasiou demonstrerade ett Android-rootkit på DefCon förra året.
Funktionen skulle inte ge några varningstecken i de behörigheter som visas när användaren laddar ner appen eftersom det är en legitim funktion för appar att kontrollera telefonens tillstånd i det som kallas Aktivitetstjänsten, enligt Schulte.
Percoco sa att forskarna talade med någon på Google om sina resultat för några veckor sedan och att individen erkände att det fanns ett problem och sa att företaget försökte ta reda på hur man skulle lösa det utan att bryta någon funktionalitet hos legitima appar som kan använda det.
När vi kontaktade en Google-representant för en kommentar sa han att han skulle undersöka saken.
Uppdatering den 8 augusti 2011 kl. 15.50 PT En talesman för Google lämnade detta uttalande: ”Att växla mellan applikationer är en önskad funktion som används av många applikationer för att uppmuntra till rik interaktion mellan applikationer. Vi har inte sett några appar som använder denna teknik på Android Market och vi kommer att ta bort alla appar som gör det.”
Googles talesman hänvisade också CNET till Visidons AppLock som ett exempel på hur denna funktionalitet används. Appen använder ansiktsigenkänningsteknik för att förhindra obehörig åtkomst till delar av din telefon, t.ex. din Gmail-app. Den legitima användningen av funktionaliteten som beskrivs i sårbarheten i detta exempel skulle skjuta AppLocks gränssnitt för lösenordsbegäran över Gmails när du trycker på det. Eftersom AppLock använder ditt ansikte som lösenord skulle den glida på, låta ditt ansikte identifieras som det godkända lösenordet och sedan glida bort.
Uppdatering den 8 augusti 2011 kl. 7.40 PT Percocos svar på Googles uttalande: ”Applikationsväxling är inte problemet. Det verkliga problemet är möjligheten för andra appar att identifiera vilken app som är i förgrunden och sedan bestämma sig för att hoppa framför den körande appen utan att användaren ger den tillåtelse att göra det. Vi förstår inte heller hur de skulle kunna avgöra skillnaden mellan en skadlig app och en legitim app eftersom de båda skulle se nästan identiska ut tills en användare rapporterar till dem att den är skadlig. Inställningen att ”vänta tills en app rapporteras som dålig innan den tas bort” är farlig och kommer sannolikt att visa sig vara en fruktlös ansträngning eftersom angripare kan lägga upp appar mycket snabbare än Google kan identifiera och ta bort dem från marknaden.”
CNET:s Seth Rosenblatt har bidragit till denna rapport.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/