גלימה ופגיון אנדרואיד מנצלים: גונב סיסמא ויומן הקשות

חוקרים במכון הטכנולוגי בג'ורג'יה ובאוניברסיטת קליפורניה, סנטה ברברה, פרסמו דו"ח בו נאמר כי מספר פגיעויות שנמצאו במערכות הפעלה אנדרואיד לוליפופ, מרשמלו ונוגט.

לטענת החוקרים, לאפליקציות זדוניות יש אפשרות לנצל שתי הרשאות בחנות Play - 'הגרלה על הדף' ו'שירות נגישות '.

משתמשים עשויים להיות מותקפים באמצעות אחת מהפגיעויות הללו או בשתיהן. התוקף יכול ללחוץ על ג'ק, לרשום הקשות, לגנוב את קוד האבטחה של המכשיר, להכניס תוכנות פרסום למכשיר וגם לאדות אסימוני אימות דו-גורמים.

קרא גם: 5 טיפים למניעת פגיעת מכשיר ה- Android שלך על ידי Ransomware.

"גלימה ופגיון הם סוג חדש של התקפות פוטנציאליות המשפיעות על מכשירי אנדרואיד. התקפות אלה מאפשרות לאפליקציה זדונית לשלוט באופן מוחלט על לולאת המשוב של ממשק המשתמש ולהשתלט על המכשיר, מבלי לתת למשתמש אפשרות להבחין בפעילות הזדונית, "ציינו החוקרים.

הפגיעות הזו נחשפה מוקדם מדי

מוקדם יותר החודש דיווחנו על פגיעות לא קבועה דומה במערכת ההפעלה אנדרואיד שתשתמש בהרשאת 'System_Alert_Window' המשמשת 'לצייר למעלה'.

מוקדם יותר, ההרשאה הזו - System_Alert_Window - הייתה צריכה להינתן ידנית על ידי המשתמש, אך עם כניסתם של אפליקציות כמו Facebook Messenger ואחרות המשתמשות בחלונות קופצים על המסך, גוגל מעניקה אותה כברירת מחדל.

אף על פי שהפגיעות, אם היא מנוצלת, עלולה להוביל להתקפת תוכנות רנסומריות מן המניין או להתקפת תוכנות פרסום, לא יהיה זה קל עבור האקר ליזום.

הרשאה זו אחראית ל 74% מהתוכנות ransomware, 57% מתוכנות הפרסום ו- 14% מהתקפות בנקאיות זדוניות במכשירי אנדרואיד.

כל האפליקציות שאתה מוריד מחנות Play נסרקות אחר קודים ומקרואים זדוניים. אז התוקף יצטרך לעקוף את מערכת האבטחה המובנית של גוגל בכדי לקבל כניסה לחנות האפליקציות.

גוגל עדכנה לאחרונה גם את מערכת ההפעלה הסלולרית שלה בשכבת אבטחה נוספת הסורקת את כל האפליקציות שמורדות למכשיר דרך חנות Play.

האם השימוש באנדרואיד בטוח כרגע?

אפליקציות זדוניות שמורדות מחנות Play מקבלות את שתי ההרשאות שהוזכרו באופן אוטומטי, מה שמאפשר לתוקף לפגוע במכשיר שלך בדרכים הבאות:

• התקפת רשת בלתי נראית: התוקף מושך כיסוי שכבה בלתי נראה למכשיר ומאפשר להם לרשום הקשות מקש.
• גניבת PIN של המכשיר והפעלתו ברקע גם כאשר המסך כבוי.
• הזרקת תוכנות פרסום למכשיר.
• בחינת האינטרנט והתחזות בהתגנבות.

החוקרים יצרו קשר עם גוגל לגבי הפגיעויות שנמצאו ואישרו כי למרות שהחברה הטמיעה תיקונים, הם לא הוכיחו כשטויות.

העדכון מבטל שכבות-על, שמונעות את התקפת הרשת הבלתי נראית, אך קליק-ג'קינג הוא עדיין אפשרות מכיוון שאפשר לפתוח את הרשאות אלו על ידי אפליקציה זדונית בשיטת נעילת הטלפון גם כאשר המסך כבוי.

המקלדת של גוגל קיבלה עדכון שאינו מונע רישום של הקשות על מקשים אך מבטיח כי סיסמאות לא ידלפו בכל פעם שמכניסים ערך לשדה סיסמה, כעת המקלדת רושמת סיסמאות כנקודה במקום התו בפועל.

אך יש דרך לעקוף גם את התוקפים.

"מכיוון שאפשר למנות את הווידג'טים ואת קודי ה- hashcodes שלהם אשר נועדו להיות ייחודיים כפסאודו, מספיקים את ה- hashcodes כדי לקבוע על כפתור המקלדת שנלחץ בפועל על ידי המשתמש", ציינו החוקרים.

קרא גם: 13 תכונות אנדרואיד מגניבות המתקרבות שנחשפו על ידי גוגל.

כל הפגיעויות שהמחקר גילה עדיין מועדות להתקפה למרות שהגרסה האחרונה של אנדרואיד קיבלה תיקון אבטחה ב- 5 במאי.

החוקרים הגישו אפליקציה לחנות Google Play אשר דרשה את שתי ההרשאות שהוזכרו לעיל והראתה בבירור כוונה זדונית, אך היא קיבלה אישור והיא עדיין זמינה בחנות Play. זה מראה כי האבטחה של חנות Play אינה באמת מתפקדת כל כך טוב.

מה הכי טוב להישאר בטוח?

בדיקה והשבתה של שתי הרשאות אלה באופן ידני עבור כל אפליקציה לא אמינה שיש לה גישה לאחת או שתיהן היא ההימור הטוב ביותר

כך תוכלו לבדוק לאילו אפליקציות יש גישה לשתי ההרשאות 'המיוחדות' הללו במכשיר שלך.

• אנדרואיד נוגט: " לצייר למעלה" - הגדרות -> אפליקציות -> 'סמל גלגל השיניים (למעלה מימין) -> גישה מיוחדת -> צייר מעל אפליקציות אחרות

  'a11y': הגדרות -> נגישות -> שירותים: בדוק אילו אפליקציות דורשות a11y.

• אנדרואיד מרשמלו: "לצייר למעלה" - הגדרות -> אפליקציות -> "סמל גלגל השיניים" (למעלה מימין) -> שרטט מעל אפליקציות אחרות.

  a11y: הגדרות → נגישות → שירותים: בדוק אילו אפליקציות דורשות a11y.

• סוכרייה על מקל אנדרואיד: "לצייר על הדף" - הגדרות -> אפליקציות -> לחץ על אפליקציה פרטנית ולחפש "לצייר על אפליקציות אחרות"

  a11y: הגדרות -> נגישות -> שירותים: בדוק אילו אפליקציות דורשות a11y.

גוגל תספק עדכוני אבטחה נוספים כדי לפתור את הבעיות שמצאו החוקרים.

קרא גם: להלן הוראות להסרת Ransomware מהטלפון שלך.

בעוד שכמה מהפגיעויות הללו יתוקנו על ידי העדכונים הבאים, בעיות סביב ההרשאה 'לצייר למעלה' צריכות להישאר עד לשחרור אנדרואיד O.

סיכוני אבטחה באינטרנט צומחים בהיקף אדיר וכרגע, הדרך היחידה להגן על המכשיר שלך היא להתקין תוכנת אנטי-וירוס מהימנה ולהיות ערנות.