Cloak and Dagger: nueva vulnerabilidad para Android
Cloak & Dagger es una nueva vulnerabilidad que recientemente ha sido descubierta por un científico del Instituto de Tecnología de Georgia en Atlanta.
Cloak & Dagger es una nueva clase de ataques potenciales que afectan a todos los dispositivos Android, teniendo en cuenta que solo unos pocos dispositivos se están ejecutando en el turrón Android, incluso después de un año de lanzamiento. Estos ataques permiten que una aplicación maliciosa controle completamente el ciclo de retroalimentación de la interfaz de usuario y se haga cargo del dispositivo, sin darle al usuario la oportunidad de notar la actividad maliciosa. Estos ataques solo requieren dos permisos que, en caso de que la aplicación se instale desde Play Store, el usuario no necesita otorgar explícitamente y para lo cual ni siquiera se le notifica. Nuestro estudio de usuarios indica que estos ataques son prácticos. Estos ataques afectan a todas las versiones recientes de Android (incluida la última versión, Android 7.1.2) y aún no se han corregido.
- ¿Cuáles son los inconvenientes de Lollipop OS?
- ¿Cuál es la mejor tableta del mercado en la gama 5000?
- ¿Por qué los fabricantes de teléfonos no venden teléfonos con la versión estándar de Android?
- ¿Samsung dejará de fabricar teléfonos Android?
- Cómo convertir mi teléfono a Android puro
“Cloak and dagger” es un nuevo tipo de vector de ataque que afecta a los dispositivos Android (incluida la última versión, 7.1.2). “Los ataques permiten que una aplicación maliciosa controle completamente el ciclo de retroalimentación de la interfaz de usuario y se apodere del dispositivo, sin darle al usuario la oportunidad de notar la actividad maliciosa”, según los investigadores.
Los ataques abusarían de una o ambas de las funciones SYSTEM_ALERT_WINDOW (“dibujar en la parte superior”) y BIND_ACCESSIBILITY_SERVICE (“a11y”). Si la aplicación maliciosa se instala desde Play Store, el usuario no recibe notificaciones sobre los permisos. No es necesario otorgar permiso explícito para que los ataques tengan éxito. No es un error tradicional, sino las combinaciones maliciosas de dos permisos legítimos en aplicaciones populares. Según el equipo de Georgia Tech, podrían ser posibles ataques, incluida la captura de contraseñas o la extracción de contactos.
La fuente de datos proporcionada por Cloak & Dagger se refiere a este sitio para obtener más información.
Lista de ataques
Ataques que abusan del permiso “dibujar en la parte superior”:
- Contestación de clics con reconocimiento de contexto y ocultación de contexto : dos técnicas que hacen que atraer al usuario para habilitar el servicio de accesibilidad sea práctico, incluso cuando los últimos mecanismos de seguridad (p. Ej., “Bandera oculta”) se implementan y habilitan correctamente. (Nota: otros han identificado formas de utilizar el jacking de clics para obtener a11y.
- Ataque de cuadrícula invisible , que permite la grabación de teclas sin restricciones, incluida la contraseña, mensajes privados, etc.
Ataques que abusan del permiso del “servicio de accesibilidad”:
- Grabación de teclas sin restricciones , incluidas las contraseñas. Según la documentación, esto no debería ser posible.
- Robo de PIN de seguridad sin informar al usuario.
- Desbloqueo del dispositivo mediante inyección de PIN + ¡realiza acciones arbitrarias mientras mantienes la pantalla apagada ! Eso lo convierte en un gran defecto de seguridad.
- Robo de tokens de autenticación de dos factores (basados en SMS, Google Authenticator y otros tokens basados en aplicaciones)
- Secuestro de anuncios
- Exploración web
Ataques que abusan de ambos permisos:
- Instalación silenciosa de la aplicación en modo Dios (con todos los permisos habilitados)
- Phishing sigiloso (para el cual el usuario se encuentra conectado, como era de esperar)
Los riesgos surgen en gran medida del código malicioso dentro de las aplicaciones pirateadas. El método de ataque ha sido reportado a Google.
Winston Bond, director técnico de EMEA en el equipo de seguridad de aplicaciones Arxan Technologies, comentó: “El descubrimiento de la última amenaza de ‘capa y daga’ que enfrentan los dispositivos Android demuestra cuán peligrosas pueden ser las aplicaciones falsas corruptas o maliciosas.
“Tradicionalmente, se ha dicho a los usuarios que estarán seguros siempre que solo descarguen aplicaciones de fuentes oficiales y no pirateen software, pero cada vez más hemos visto casos de aplicaciones maliciosas que se descargan desde tiendas de aplicaciones o sitios web oficiales.
“Los desarrolladores ya no pueden confiar en el enfoque del ‘jardín amurallado’ de las tiendas de aplicaciones para proteger a sus usuarios de las copias maliciosas de sus aplicaciones, y necesitan defender de manera proactiva su software de los delincuentes que buscan alterar su código y convertirlo en un arma”.
Por lo tanto, ahora se recomienda descargar la aplicación de Play Store solo si el desarrollador es reputado.
Kaknut | #the_quirky_one