2017/05/26

Ataque "Cloak and Dagger" deixa Android vulnerável


Investigadores demonstraram um novo ataque que se aproveita do facto do Android ainda permitir que as apps instaladas via Play Store tenham automaticamente acesso a escrever sobre o ecrã, para poderem controlar o smartphone e roubar dados sem que o utilizador se aperceba disso.

Este ataque Cloak and Dagger ("capa e espada") recorre às permissões SYSTEM ALERT WINDOW (que permitem desenhar sobre o ecrã) e BIND ACCESSIBILITY SERVICE, que usa as funções de acessibilidade para interceptar acções feitas no dispositivo. A primeira permissão é a mais problemática, pois é a que é dada automaticamente sem que seja perguntado ao utilizador, a apps que sejam instaladas da Play Store - sendo que a segunda, terá que ser dada pelo utilizador, cabendo à app apresentar um motivo suficientemente convincente para que seja aprovada, ou enganando-o, usando a funcionalidade anterior que permite à app ter controlo total sobre o que aparece no ecrã.

Esta técnica permite até que a app maliciosa consiga desbloquear um smartphone e simular a interacção com outras apps, mantendo o ecrã desligado; dificultando o processo de saber que algo de errado se passa.

O próximo Android O deverá resolver esta questão proibindo as apps de desenharem sobre elementos do sistema, mas até lá ninguém está livre de apanhar uma destas apps. Sendo que convirá verificarem que apps têm acesso a estas permissões:
  • Android 7.1.2:
    • "draw on top" permission: Settings → Apps → "Gear symbol" (top-right) → Special access → Draw over other apps.
    • a11y: Settings → Accessibility → Services: check which apps require a11y.
  • Android 6.0.1:
    • "draw on top" permission: Settings → Apps → "Gear symbol" (top-right) → Draw over other apps.
    • a11y: Settings → Accessibility → Services: check which apps require a11y.
  • Android 5.1.1:
    • "draw on top" permission: Settings → Apps → click on individual app and look for "draw over other apps"
    • a11y: Settings → Accessibility → Services: check which apps require a11y.

... Esta opção da Google não querer "incomodar" os utilizadores perguntando-lhes pela permissão de desenhar sobre o ecrã para apps da Play Store (que afectaria apps como o Facebook/Messenger com os seus chat heads) ainda lhes vai sair caro....






5 comentários:

  1. Dagger é punhal e não espada :P

    ResponderEliminar
    Respostas
    1. Certo, mas a expressão equivalente em português é o "capa e espada" (em referência aos livros e filmes desse "estilo"). :)

      Eliminar
  2. é triste.. anda uma pessoa a pagar 800 euros por um telemovel e não é minimamente seguro..

    ResponderEliminar
    Respostas
    1. É seguro... se não instalares apps maliciosas, nem visitares sites maliciosos, nem deixares que pessoas te tirem fotos aos olhos, nem roubem impressões digitais, nem...
      :)

      Eliminar
    2. Já vis pessoas a instalar aplicações de lanterna, que pediam permissões para fazer chamadas e ler os contactos (!?)... há quem mereça uns malwares :P

      Eliminar