adamdj
VIP Members
-
24/08/2016
-
91
-
130 bài viết
Lỗ hổng cho phép chiếm toàn bộ quyền kiểm soát trên tất cả thiết bị Android
"Cloak and Dagger" được các nhà khoa học phát hiện ra là một cuộc tấn công mới, hoạt động trên tất cả các thiết bị Android, hiện tại lên đến phiên bản Android 7.1.2.
Tấn công Cloak and Dagger, tấn công cho phép hacker kiểm soát hoàn toàn thiết bị của bạn và ăn cắp dữ liệu cá nhân, bao gồm tổ hợp phím, cuộc trò chuyện, mã PIN thiết bị, mật khẩu tài khoản trực tuyến, mã OTP và danh bạ.
Cuộc tấn công không khai thác bất kỳ lỗ hổng trong hệ sinh thái Android; Thay vào đó, nó lạm dụng một cặp quyền hợp lệ ứng dụng hợp pháp đang được sử dụng rộng rãi trong các ứng dụng phổ biến để truy cập các tính năng nhất định trên thiết bị Android.
Các nhà nghiên cứu tại Viện Công nghệ Georgia đã phát hiện ra cuộc tấn công này, người đã thực hiện thành công nó trên 20 người và không ai trong số họ đã có thể phát hiện bất kỳ hoạt động độc hại nào.
Tấn công Cloak and Dagger sử dụng hai quyền cơ bản của Android:
Quyền thứ hai được gọi là “a11y” được thiết kế để giúp người khuyết tật, người mù và người khiếm thị, cho phép họ nhập dữ liệu vào sử dụng lệnh thoại hoặc nghe nội dung bằng tính năng trình đọc màn hình.
NHỮNG ĐIỀU ĐÁNG SỢ MÀ HACKER CÓ THỂ LÀM VỚI ANDROID CỦA BẠN (DEMO)
Kể từ khi cuộc tấn công không đòi hỏi bất kỳ mã độc hại để thực hiện nhiệm vụ trojan độc hại, nó trở nên dễ dàng hơn cho các hacker để phát triển và gửi một ứng dụng độc hại lên Google Play Store mà không phát hiện.
Thật không may, đó là một thực tế được biết rằng các cơ chế bảo mật được sử dụng bởi Google không đủ kiểm soát ứng dụng độc hại trên Play Store của họ.
Nếu bạn đang theo dõi các bản cập nhật bảo mật thông thường từ The Hacker News, bạn phải nhận thức rõ hơn các tiêu đề thường xuyên như “hàng trăm ứng dụng bị nhiễm phần mềm quảng cáo nhắm mục tiêu đến Play Store của người dùng” và “các ứng dụng ransomware được tìm thấy trên Play Store.”
Chỉ mới tháng trước, các nhà nghiên cứu đã phát hiện ra một số ứng dụng Android giả mạo như là ứng dụng “Funny Videos” trên Play Store với hơn 5.000 lượt tải xuống nhưng phân phối “BankBot Trojan” ăn cắp mật khẩu ngân hàng của nạn nhân.
Đây là những gì các nhà nghiên cứu đã giải thích làm thế nào họ có trên Google Play Store để thực hiện tấn công Cloak & Dagger:
“Đặc biệt, chúng tôi đã gửi một ứng dụng yêu cầu hai quyền này và chứa hàm không bị làm rối để tải xuống và thực thi mã tùy ý (cố gắng mô phỏng hành vi độc hại rõ ràng): ứng dụng này đã được phê duyệt chỉ sau vài giờ (và nó vẫn còn trên Google Play Store) “các nhà nghiên cứu nói.
Sau khi cài đặt, các nhà nghiên cứu nói rằng kẻ tấn công có thể thực hiện các hoạt động độc hại khác nhau bao gồm:
Các nhà nghiên cứu cũng đã cung cấp các video trình diễn về một loạt các cuộc tấn công Cloak and Dagger:
Cloak & Dagger: Invisible Grid Attack (Video Yanick Fratantonio )
Cloak & Dagger: Stealthy Phishing Attack (Video Yanick Fratantonio )
GOOGLE CẦN TỐN NHIỀU THỜI GIAN ĐỂ KHẮC PHỤC LỖ HỔNG NÀY
Các nhà nghiên cứu tại đại học đã tiết lộ vector tấn công mới này cho Google nhưng lưu ý rằng kể từ khi vấn đề này được đặt ra theo cách mà hệ điều hành Android đã được thiết kế, liên quan đến hai tính năng chuẩn của nó hoạt động như dự định, vấn đề có thể khó giải quyết.
“Thay đổi một tính năng không giống như sửa một lỗi “, Yanick Fratantonio, tác giả đầu tiên của bài báo, cho biết” Các nhà thiết kế hệ thống bây giờ sẽ phải suy nghĩ nhiều hơn về các tính năng dường như không liên quan có thể tương tác như thế nào. Các tính năng không hoạt động riêng trên thiết bị.”
Như chúng tôi đã báo cáo trước đó, Google cho phép “SYSTEM_ALERT_WINDOW” (“draw on top”) cho tất cả các ứng dụng được cài đặt trực tiếp từ Google Play Store chính thức kể từ Android Marshmallow (phiên bản 6) ra mắt vào tháng 10 năm 2015.
Tính năng này cho phép các ứng dụng độc hại tấn công màn hình của thiết bị là một trong những phương pháp khai thác rộng rãi nhất được sử dụng bởi tội phạm mạng và tin tặc để lừa người sử dụng Android không biết sử dụng phần mềm độc hại và gian lận.
Tuy nhiên, Google đã lên kế hoạch thay đổi chính sách của mình trong ‘Android O’, dự kiến ra mắt vào quý 3 năm nay.
Vì vậy, người dùng cần phải đợi một thời gian dài, vì hàng triệu người dùng vẫn đang chờ Android Nougat (N) từ các nhà sản xuất thiết bị (OEM).
Nói cách khác, đa số người dùng điện thoại thông minh sẽ tiếp tục là nạn nhân của ransomware, phần mềm quảng cáo và trojan ít nhất trong một năm tới.
PHƯƠNG PHÁP GIẢM THIỂU
Cách đơn giản nhất để vô hiệu hóa các cuộc tấn công của Cloak and Dagger trong Android 7.1.2 là tắt tính năng “draw on top” theo cách sau:
Settings → Apps → Gear symbol → Special access → Draw over other apps.
Cách phổ quát và dễ nhất để tránh bị tấn công luôn tải ứng dụng từ Google Play Store, nhưng chỉ từ các nhà phát triển đáng tin cậy và được xác minh.
Bạn cũng nên kiểm tra quyền của ứng dụng trước khi cài đặt ứng dụng và không được cài đặt ứng dụng vượt quyền cho phép.
Tấn công Cloak and Dagger, tấn công cho phép hacker kiểm soát hoàn toàn thiết bị của bạn và ăn cắp dữ liệu cá nhân, bao gồm tổ hợp phím, cuộc trò chuyện, mã PIN thiết bị, mật khẩu tài khoản trực tuyến, mã OTP và danh bạ.
Cuộc tấn công không khai thác bất kỳ lỗ hổng trong hệ sinh thái Android; Thay vào đó, nó lạm dụng một cặp quyền hợp lệ ứng dụng hợp pháp đang được sử dụng rộng rãi trong các ứng dụng phổ biến để truy cập các tính năng nhất định trên thiết bị Android.
Các nhà nghiên cứu tại Viện Công nghệ Georgia đã phát hiện ra cuộc tấn công này, người đã thực hiện thành công nó trên 20 người và không ai trong số họ đã có thể phát hiện bất kỳ hoạt động độc hại nào.
Tấn công Cloak and Dagger sử dụng hai quyền cơ bản của Android:
- SYSTEM_ALERT_WINDOW (“draw on top”)
- BIND_ACCESSIBILITY_SERVICE (“a11y”)
Quyền thứ hai được gọi là “a11y” được thiết kế để giúp người khuyết tật, người mù và người khiếm thị, cho phép họ nhập dữ liệu vào sử dụng lệnh thoại hoặc nghe nội dung bằng tính năng trình đọc màn hình.
NHỮNG ĐIỀU ĐÁNG SỢ MÀ HACKER CÓ THỂ LÀM VỚI ANDROID CỦA BẠN (DEMO)
Kể từ khi cuộc tấn công không đòi hỏi bất kỳ mã độc hại để thực hiện nhiệm vụ trojan độc hại, nó trở nên dễ dàng hơn cho các hacker để phát triển và gửi một ứng dụng độc hại lên Google Play Store mà không phát hiện.
Thật không may, đó là một thực tế được biết rằng các cơ chế bảo mật được sử dụng bởi Google không đủ kiểm soát ứng dụng độc hại trên Play Store của họ.
Nếu bạn đang theo dõi các bản cập nhật bảo mật thông thường từ The Hacker News, bạn phải nhận thức rõ hơn các tiêu đề thường xuyên như “hàng trăm ứng dụng bị nhiễm phần mềm quảng cáo nhắm mục tiêu đến Play Store của người dùng” và “các ứng dụng ransomware được tìm thấy trên Play Store.”
Chỉ mới tháng trước, các nhà nghiên cứu đã phát hiện ra một số ứng dụng Android giả mạo như là ứng dụng “Funny Videos” trên Play Store với hơn 5.000 lượt tải xuống nhưng phân phối “BankBot Trojan” ăn cắp mật khẩu ngân hàng của nạn nhân.
Đây là những gì các nhà nghiên cứu đã giải thích làm thế nào họ có trên Google Play Store để thực hiện tấn công Cloak & Dagger:
“Đặc biệt, chúng tôi đã gửi một ứng dụng yêu cầu hai quyền này và chứa hàm không bị làm rối để tải xuống và thực thi mã tùy ý (cố gắng mô phỏng hành vi độc hại rõ ràng): ứng dụng này đã được phê duyệt chỉ sau vài giờ (và nó vẫn còn trên Google Play Store) “các nhà nghiên cứu nói.
Sau khi cài đặt, các nhà nghiên cứu nói rằng kẻ tấn công có thể thực hiện các hoạt động độc hại khác nhau bao gồm:
- Nâng cao tấn công Clickjacking
- Ghi lại thông tin bàn phím
- Tấn công lừa đảo trộm cắp
- Cài đặt im lặng của ứng dụng Chế độ God-mode (với tất cả các quyền đã được bật)
- Mở khóa điện thoại im lặng và các hành động tuỳ ý (trong khi giữ màn hình tắt)
Các nhà nghiên cứu cũng đã cung cấp các video trình diễn về một loạt các cuộc tấn công Cloak and Dagger:
Các nhà nghiên cứu tại đại học đã tiết lộ vector tấn công mới này cho Google nhưng lưu ý rằng kể từ khi vấn đề này được đặt ra theo cách mà hệ điều hành Android đã được thiết kế, liên quan đến hai tính năng chuẩn của nó hoạt động như dự định, vấn đề có thể khó giải quyết.
“Thay đổi một tính năng không giống như sửa một lỗi “, Yanick Fratantonio, tác giả đầu tiên của bài báo, cho biết” Các nhà thiết kế hệ thống bây giờ sẽ phải suy nghĩ nhiều hơn về các tính năng dường như không liên quan có thể tương tác như thế nào. Các tính năng không hoạt động riêng trên thiết bị.”
Như chúng tôi đã báo cáo trước đó, Google cho phép “SYSTEM_ALERT_WINDOW” (“draw on top”) cho tất cả các ứng dụng được cài đặt trực tiếp từ Google Play Store chính thức kể từ Android Marshmallow (phiên bản 6) ra mắt vào tháng 10 năm 2015.
Tính năng này cho phép các ứng dụng độc hại tấn công màn hình của thiết bị là một trong những phương pháp khai thác rộng rãi nhất được sử dụng bởi tội phạm mạng và tin tặc để lừa người sử dụng Android không biết sử dụng phần mềm độc hại và gian lận.
Tuy nhiên, Google đã lên kế hoạch thay đổi chính sách của mình trong ‘Android O’, dự kiến ra mắt vào quý 3 năm nay.
Vì vậy, người dùng cần phải đợi một thời gian dài, vì hàng triệu người dùng vẫn đang chờ Android Nougat (N) từ các nhà sản xuất thiết bị (OEM).
Nói cách khác, đa số người dùng điện thoại thông minh sẽ tiếp tục là nạn nhân của ransomware, phần mềm quảng cáo và trojan ít nhất trong một năm tới.
PHƯƠNG PHÁP GIẢM THIỂU
Cách đơn giản nhất để vô hiệu hóa các cuộc tấn công của Cloak and Dagger trong Android 7.1.2 là tắt tính năng “draw on top” theo cách sau:
Settings → Apps → Gear symbol → Special access → Draw over other apps.
Cách phổ quát và dễ nhất để tránh bị tấn công luôn tải ứng dụng từ Google Play Store, nhưng chỉ từ các nhà phát triển đáng tin cậy và được xác minh.
Bạn cũng nên kiểm tra quyền của ứng dụng trước khi cài đặt ứng dụng và không được cài đặt ứng dụng vượt quyền cho phép.
thehackernews
Chỉnh sửa lần cuối bởi người điều hành: