Mantel & dolk exploit: wat u moet weten

Een nieuw Android-exploit is onthuld genaamd Cloak & Dagger en, trouw aan zijn naam, beschrijft het manieren waarop kwaadwillende apps kunnen profiteren van twee Android-machtigingen om toetsaanslagen te stelen en gebruikers te misleiden om persoonlijke informatie vrij te geven.

Maar is het gevaarlijk? Laten we het snel afbreken.

Wat is Cloak & Dagger?

Cloak & Dagger is de naam voor een combinatie van twee exploiteerbare Android-machtigingen die, wanneer ze onafhankelijk of afzonderlijk worden gebruikt via een kwaadwillende app, ernstige gevolgen kunnen hebben.

Het werd gepubliceerd als een proof-of-concept door een team van vier personen aan Georgia Institute of Technology en University of California, Santa Barbara.

Het is geen actieve exploit en tot op heden is er geen publiek gebruik van bekend.

Hoe werkt het?

Volgens het team profiteert Cloak & Dagger van twee Android-machtigingen - SYSTEM_ALERT_WINDOW ("draw on top") en BIND_ACCESSIBILITY_SERVICE ("a11y") - die het mogelijk maken voor een app om "in te luisteren" wanneer ze samenwerken of afzonderlijk en steel tekstinvoer zoals wachtwoorden, tweefactorauthenticatienummers of persoonlijke gegevens.

Cloak & Dagger is een nieuwe klasse potentiële aanvallen op Android-apparaten. Met deze aanvallen kan een kwaadwillende app de UI-feedbacklus volledig beheersen en het apparaat overnemen - zonder de gebruiker de kans te geven de kwaadaardige activiteit op te merken. Deze aanvallen vereisen slechts twee machtigingen die, in het geval dat de app wordt geïnstalleerd vanuit de Play Store, de gebruiker niet expliciet hoeft toe te kennen en waarvoor ze zelfs geen melding ontvangt. Onze gebruikersstudie geeft aan dat deze aanvallen praktisch zijn.

De machtiging "Draw on top" staat bekend als de Android-overlayfunctie en wordt door veel apps zoals Facebook Messenger en de eigen Multi Window-functie van Samsung gebruikt om "vensters" in te schakelen die kunnen worden geminimaliseerd en over andere apps kunnen worden verplaatst.

Hoe werkt de exploit?

Omdat beide machtigingen geen deel uitmaken van het expliciete machtigingssysteem van Android dat in Android 6.0 Marshmallow is gestart, kan de app automatisch een "draw on top" -machtiging verlenen wanneer een kwaadaardige app wordt gedownload.

Zodra dat gebeurt, kan de app, eenmaal geopend, een overlay maken op een bekende app, zoals Facebook, om invoer als wachtwoorden te "phishing". Het kan ook bovenop het Android-toetsenbord worden geplaatst en alle ingevoerde tekst oppikken.

De toegangstoestemming is een beetje moeilijker om een ​​gebruiker te dwingen in te schakelen, maar het team zegt dat het proof-of-concept de overlay-toestemming gebruikte om gebruikers te misleiden om het te activeren. Zodra beide zijn ingeschakeld, kan een app 'god-modus' mogelijk gegevens stelen van elke app die op de telefoon wordt gebruikt.

Iedereen is getroffen

Cloak & Dagger is volgens het team van invloed op alle versies van Android, inclusief Android 5.0, 6.0 en 7.0, tot de nieuwste versie van Android 7.1.2.

Android 7.0 en hoger maakt het voor sommige van de overlay-exploits wat moeilijker om te werken, maar enige vindingrijkheid kan er nog steeds omheen.

Moet je je zorgen maken?

Op dit moment zijn er geen bekende apps die misbruik maken van deze machtigingen voor kwaadaardige doeleinden, maar nu ze openbaar zijn, kan dat veranderen. Het team publiceerde het onderzoek om Google's hand te dwingen om de ervaring te verbeteren, omdat, in tegenstelling tot andere Android-kwetsbaarheden, deze exploits profiteren van ontwerpfouten in de machtigingen zelf, niet van gaten of bugs in de software.

Wat kunt u doen om uzelf te beschermen?

Dit is geen probleem voor u als u voorzichtig bent met de apps die u gebruikt.

Veel wordt vaak gemaakt van de beveiligingsfouten van Android, maar Cloak & Dagger is niet iets waar u zich zorgen over hoeft te maken, zolang u voorzichtig bent met het verlenen van overlay-machtigingen.

Om de potentiële effecten van Cloak & Dagger te verminderen, is het een goed idee om te bekijken welke apps overlays op uw Android-systeem kunnen maken. In de meeste versies van Android gaat u als volgt te werk:

1. Open Android-instellingen.
2. Scroll naar beneden en tik op Apps.
3. Tik op het pictogram Menu of Cog.
4. Zoek en tik op Speciale toegang. Het staat meestal onder de kop 'Geavanceerd'.
5. Tik op Draw over andere apps. Dit zijn de apps die overlays kunnen maken met de bovenstaande machtiging.
6. Schakel apps uit die u niet herkent.

Meer: Hoe schermoverlay op de Galaxy S8 uit te schakelen

Geen paniek!

Serieus, dit is niet erg als je voorzichtig bent met de apps die je downloadt, vooral omdat Google nu elke dag 50 miljard apps scant op malware met behulp van het Play Protect-systeem.

Hopelijk zal Google dit probleem openbaar aanpakken of op zijn minst enige verduidelijking geven over wat het van plan is te doen met app-overlays. Android O zou dit probleem helemaal moeten oplossen door het overlayprobleem opnieuw te definiëren met een nieuwe API, maar het is onduidelijk hoe of als Google van plan is de bezorgdheid over eerdere versies aan te pakken.