Mantel en dolk android exploit: steelt wachtwoord en registreert toetsaanslagen

Onderzoekers van het Georgia Institute of Technology en de Universiteit van Californië, Santa Barbara, hebben een rapport uitgebracht waarin verschillende kwetsbaarheden zijn aangetroffen met de besturingssystemen Android Lollipop, Marshmallow en Nougat.

Volgens de onderzoekers hebben kwaadwillende apps de mogelijkheid om twee machtigingen in de Play Store te exploiteren - de 'draw on top' en 'de toegankelijkheidsservice'.

Gebruikers kunnen worden aangevallen met behulp van een van deze kwetsbaarheden of beide. De aanvaller kan klikken, toetsaanslagen opnemen, de beveiligingspincode van het apparaat stelen, adware in het apparaat plaatsen en ook tweefactorauthenticatietokens stomen.

Lees ook: 5 tips om te voorkomen dat uw Android-apparaat wordt geraakt door Ransomware.

“Cloak & Dagger is een nieuwe klasse potentiële aanvallen op Android-apparaten. Met deze aanvallen kan een kwaadwillende app de UI-feedbacklus volledig beheersen en het apparaat overnemen, zonder de gebruiker de kans te geven de kwaadaardige activiteit op te merken ”, aldus de onderzoekers.

Dit beveiligingslek was ook eerder aan het licht gekomen

Eerder deze maand hadden we gemeld over een soortgelijke niet-opgeloste kwetsbaarheid in het Android-besturingssysteem die de machtiging 'System_Alert_Window' zou gebruiken om 'bovenaan te tekenen'.

Eerder moest deze toestemming - System_Alert_Window - handmatig worden verleend door de gebruiker, maar met de komst van apps zoals Facebook Messenger en andere die pop-ups op het scherm gebruiken, verleent Google deze standaard.

Hoewel het beveiligingslek, indien misbruikt, kan leiden tot een volwaardige ransomware- of adware-aanval, zal het voor een hacker niet eenvoudig zijn om te initiëren.

Deze toestemming is verantwoordelijk voor 74% van de ransomware, 57% van de adware en 14% van banker-malware-aanvallen op Android-apparaten.

Alle apps die u downloadt vanuit de Play Store worden gescand op schadelijke codes en macro's. De aanvaller moet dus het ingebouwde beveiligingssysteem van Google omzeilen om toegang te krijgen tot de app store.

Google heeft onlangs zijn mobiele besturingssysteem bijgewerkt met een extra beveiligingslaag die alle apps scant die via de Play Store naar het apparaat worden gedownload.

Is Android nu veilig gebruiken?

Schadelijke apps die worden gedownload uit de Play Store, krijgen automatisch de twee bovengenoemde machtigingen, waardoor een aanvaller uw apparaat op de volgende manieren kan beschadigen:

• Onzichtbare rasteraanval: de aanvaller tekent een onzichtbare overlay op het apparaat, zodat ze toetsaanslagen kunnen registreren.
• PIN van het apparaat stelen en op de achtergrond bedienen, zelfs wanneer het scherm is uitgeschakeld.
• Adware in het apparaat injecteren.
• Het web verkennen en heimelijk phishing.

De onderzoekers hebben contact opgenomen met Google over de gevonden kwetsbaarheden en hebben bevestigd dat hoewel het bedrijf oplossingen heeft geïmplementeerd, deze niet onfeilbaar zijn.

De update schakelt overlays uit, wat de onzichtbare rasteraanval voorkomt, maar Clickjacking is nog steeds een mogelijkheid omdat deze machtigingen kunnen worden ontgrendeld door een kwaadwillende app met behulp van de telefoonontgrendelingsmethode, zelfs wanneer het scherm is uitgeschakeld.

Het Google-toetsenbord heeft ook een update ontvangen die het registreren van toetsaanslagen niet voorkomt, maar ervoor zorgt dat wachtwoorden niet worden gelekt zoals bij het invoeren van een waarde in een wachtwoordveld, nu logt het toetsenbord wachtwoorden als een 'punt' in plaats van het werkelijke teken.

Maar er is ook een manier om dit te omzeilen die door de aanvallers kan worden uitgebuit.

"Omdat het mogelijk is om de widgets en hun hashcodes op te sommen die zijn ontworpen om pseudo-uniek te zijn, zijn de hashcodes voldoende om te bepalen op welke toetsenbordknop de gebruiker daadwerkelijk heeft geklikt, " wezen de onderzoekers.

Lees ook: 13 coole Android-functies onthuld door Google.

Alle kwetsbaarheden die het onderzoek heeft ontdekt, zijn nog steeds vatbaar voor een aanval, hoewel de nieuwste versie van Android op 5 mei een beveiligingspatch heeft ontvangen.

De onderzoekers dienden een app in bij de Google Play Store waarvoor de twee bovengenoemde machtigingen nodig waren en die duidelijk kwaadaardige bedoelingen vertoonden, maar deze werd goedgekeurd en is nog steeds beschikbaar in de Play Store. Dit laat zien dat de beveiliging van de Play Store niet echt zo goed werkt.

Wat is de beste gok om veilig te blijven?

Beide machtigingen handmatig in- en uitschakelen voor niet-vertrouwde apps die toegang hebben tot een van beide of beide is de beste keuze

Zo kunt u controleren welke apps toegang hebben tot deze twee 'speciale' machtigingen op uw apparaat.

• Android Nougat: " draw on top" - Instellingen -> Apps -> 'Gear-symbool (rechtsboven) -> Speciale toegang -> Draw over andere apps

  'a11y': Instellingen -> Toegankelijkheid -> Services: controleer welke apps a11y vereisen.

• Android Marshmallow: "draw on top" - Instellingen -> Apps -> "Gear symbool" (rechtsboven) -> Draw over andere apps.

  a11y: Instellingen → Toegankelijkheid → Services: controleer welke apps a11y vereisen.

• Android Lollipop: "draw on top" - Instellingen -> Apps -> klik op individuele app en zoek naar "draw over other apps"

  a11y: Instellingen -> Toegankelijkheid -> Services: controleer welke apps a11y vereisen.

Google zal verdere beveiligingsupdates verstrekken om de door de onderzoekers gevonden problemen op te lossen.

Lees ook: hier is hoe Ransomware van uw telefoon te verwijderen.

Hoewel verschillende van deze kwetsbaarheden zullen worden verholpen door de volgende updates, blijven problemen rond de 'draw on top'-machtiging bestaan ​​totdat Android O wordt vrijgegeven.

Beveiligingsrisico's op internet groeien enorm en momenteel is de enige manier om uw apparaat te beschermen, het installeren van vertrouwde antivirussoftware en het zijn van een burgerwacht.