Khai thác Cloak và dagger android: đánh cắp mật khẩu và ghi lại các lần nhấn phím

Các nhà nghiên cứu tại Viện Công nghệ Georgia và Đại học California, Santa Barbara, đã phát hành một báo cáo nêu rõ một số lỗ hổng được tìm thấy với các hệ điều hành Android Lollipop, Marshmallow và Nougat.

Theo các nhà nghiên cứu, các ứng dụng độc hại có khả năng khai thác hai quyền trên Cửa hàng Play - 'dịch vụ truy cập hàng đầu' và 'dịch vụ trợ năng'.

Người dùng có thể bị tấn công bằng cách sử dụng một trong các lỗ hổng này hoặc cả hai. Kẻ tấn công có thể nhấp chuột, ghi lại các lần bấm phím, đánh cắp mã PIN bảo mật của thiết bị, chèn phần mềm quảng cáo vào thiết bị và cũng có thể mã thông báo xác thực hai yếu tố.

Cũng đọc: 5 mẹo để ngăn chặn thiết bị Android của bạn khỏi bị tấn công bởi Ransomware.

Clo Clo & Dagger là một lớp tấn công tiềm năng mới ảnh hưởng đến các thiết bị Android. Các cuộc tấn công này cho phép một ứng dụng độc hại kiểm soát hoàn toàn vòng phản hồi UI và chiếm lấy thiết bị mà không cho người dùng cơ hội chú ý đến hoạt động độc hại, các nhà nghiên cứu lưu ý.

Lỗ hổng này cũng đã bị phơi bày trước đó

Đầu tháng này, chúng tôi đã báo cáo về một lỗ hổng không được trộn lẫn tương tự trong hệ điều hành Android sẽ sử dụng quyền 'System_Alert_Window' được sử dụng để 'vẽ lên trên cùng'.

Trước đó, quyền này - System_Alert_Window - phải được người dùng cấp thủ công, nhưng với sự xuất hiện của các ứng dụng như Facebook Messenger và các ứng dụng khác sử dụng cửa sổ bật lên trên màn hình, Google cấp mặc định.

Mặc dù lỗ hổng bảo mật, nếu bị khai thác, có thể dẫn đến một cuộc tấn công ransomware hoặc phần mềm quảng cáo đầy đủ, nhưng sẽ không dễ dàng để tin tặc bắt đầu.

Sự cho phép này chịu trách nhiệm cho 74% ransomware, 57% phần mềm quảng cáo và 14% các cuộc tấn công phần mềm độc hại ngân hàng trên các thiết bị Android.

Tất cả các ứng dụng bạn tải xuống từ Cửa hàng Play được quét mã độc và macro. Vì vậy, kẻ tấn công sẽ phải phá vỡ hệ thống bảo mật sẵn có của Google để xâm nhập vào cửa hàng ứng dụng.

Google gần đây cũng cập nhật hệ điều hành di động của mình với một lớp bảo mật bổ sung quét qua tất cả các ứng dụng đang được tải xuống thiết bị thông qua Play Store.

Đang sử dụng Android an toàn ngay bây giờ?

Các ứng dụng độc hại được tải xuống từ Cửa hàng Play tự động nhận được hai quyền đã nói ở trên, cho phép kẻ tấn công làm hại thiết bị của bạn theo các cách sau:

• Tấn công lưới vô hình: Kẻ tấn công vẽ lên một lớp phủ vô hình trên thiết bị, cho phép chúng ghi lại các lần nhấn phím.
• Lấy cắp mã PIN của thiết bị và vận hành nó ở chế độ nền ngay cả khi màn hình bị tắt.
• Tiêm phần mềm quảng cáo vào thiết bị.
• Khám phá web và lừa đảo lén lút.

Các nhà nghiên cứu đã liên hệ với Google về các lỗ hổng được tìm thấy và đã xác nhận rằng mặc dù công ty đã thực hiện các bản sửa lỗi, nhưng chúng không phải là bằng chứng ngu ngốc.

Bản cập nhật vô hiệu hóa lớp phủ, ngăn chặn cuộc tấn công lưới vô hình, nhưng Clickjacking vẫn có khả năng vì các quyền này có thể được mở khóa bằng một ứng dụng độc hại bằng phương pháp mở khóa điện thoại ngay cả khi tắt màn hình.

Bàn phím Google cũng đã nhận được bản cập nhật không ngăn chặn ghi nhật ký gõ phím nhưng đảm bảo rằng mật khẩu không bị rò rỉ vì bất cứ khi nào nhập giá trị vào trường mật khẩu, giờ đây bàn phím sẽ ghi lại mật khẩu dưới dạng 'dấu chấm' thay vì ký tự thực tế.

Nhưng có một cách xung quanh điều này cũng có thể bị khai thác bởi những kẻ tấn công.

Các nhà nghiên cứu đã chỉ ra rằng các phần mềm và mã băm của chúng được thiết kế là giả duy nhất, các mã băm đủ để xác định nút bàn phím nào thực sự được người dùng nhấp vào.

Cũng đọc: 13 tính năng tuyệt vời dành cho Android sắp ra mắt của Google.

Tất cả các lỗ hổng mà nghiên cứu đã phát hiện ra vẫn có xu hướng bị tấn công mặc dù phiên bản Android mới nhất đã nhận được bản vá bảo mật vào ngày 5 tháng 5.

Các nhà nghiên cứu đã gửi một ứng dụng tới Google Play Store yêu cầu hai quyền đã nói ở trên và thể hiện rõ mục đích xấu, nhưng nó đã được phê duyệt và vẫn có sẵn trên Play Store. Điều này cho thấy rằng bảo mật Cửa hàng Play không thực sự hoạt động tốt như vậy.

Đặt cược tốt nhất để giữ an toàn là gì?

Kiểm tra và vô hiệu hóa cả hai quyền này theo cách thủ công đối với bất kỳ ứng dụng không đáng tin cậy nào có quyền truy cập vào một hoặc cả hai quyền đó là cách tốt nhất

Đây là cách bạn có thể kiểm tra ứng dụng nào có quyền truy cập vào hai quyền 'đặc biệt' này trên thiết bị của mình.

• Android Nougat: Rút thăm trên đỉnh - Cài đặt -> Ứng dụng -> 'Biểu tượng bánh răng (trên cùng bên phải) -> Truy cập đặc biệt -> Vẽ qua các ứng dụng khác

  'a11y': Cài đặt -> Trợ năng -> Dịch vụ: kiểm tra ứng dụng nào yêu cầu a11y.

• Android Marshmallow: Rút thăm trên đỉnh - Cài đặt -> Ứng dụng -> Biểu tượng Gear Gear Trực tiếp (trên cùng bên phải) -> Vẽ qua các ứng dụng khác.

  a11y: Cài đặt → Trợ năng → Dịch vụ: kiểm tra ứng dụng nào yêu cầu a11y.

• Android Lollipop: Rút thăm trên trên đỉnh - Cài đặt -> Ứng dụng -> nhấp vào từng ứng dụng và tìm kiếm rút thăm trên các ứng dụng khác.

  a11y: Cài đặt -> Trợ năng -> Dịch vụ: kiểm tra ứng dụng nào yêu cầu a11y.

Google sẽ cung cấp thêm các cập nhật bảo mật để giải quyết các vấn đề được tìm thấy bởi các nhà nghiên cứu.

Cũng đọc: Đây là Cách xóa Ransomware khỏi điện thoại của bạn.

Mặc dù một số lỗ hổng trong số này sẽ được khắc phục bằng các bản cập nhật sau, các vấn đề xung quanh quyền 'rút thăm hàng đầu' vẫn tồn tại cho đến khi Android O được phát hành.

Rủi ro bảo mật trên internet đang gia tăng ở quy mô lớn và hiện tại, cách duy nhất để bảo vệ thiết bị của bạn là cài đặt một phần mềm chống vi-rút đáng tin cậy và là một người cảnh giác.