Palo Alto Networks的手機安全專家詳述了一種很對安卓設備的新型攻擊,使用“Toast”(Android系統中用來顯示信息的一種機制)信息幫助惡意軟件獲取管理員權限或訪問安卓“輔助功能”(Accessibility)。
過去幾年,大多數臭名昭著的安卓軟件曾使用同樣的技倆完全控制用戶設備,其主要依靠惡意軟件在應用程序安裝過程中愚弄用戶授權(通過“Draw on top”權限)在其它應用程序上顯示內容。
一旦惡意應用程序獲取了這項權限,惡意應用便能在用戶屏幕上顯示入侵彈出窗口,要求用戶確認信息或采取某些措施。
現實中,惡意應用會要求訪問安卓輔助功能,但會使用“Draw on top”在“激活”按鈕上面顯示虛假信息。這種技術至少已經被攻擊者用來實施攻擊長達兩年,這是研究人員首次對這種被命名為“斗篷與匕首”(Cloak & Dagger)攻擊進行了深度剖析。
“斗篷與匕首”攻擊新花樣
Palo Alto專家表示,研究的目的是為了調查實施“斗篷和匕首”攻擊的其它方式。
安卓操作系統和許多應用程序使用Toast信息(顯示在屏幕底部的彈出窗口)顯示提示信息,例如在Gmail確認發送信息或用戶連接到無線網絡時的提示信息。
Palo Alto研究人員指出,攻擊者能使用Toast信息執行“斗篷和匕首”攻擊。因為Toast信息有利于攻擊者,這些信息會顯示在任何應用程序上面,而惡意應用程序在安裝過程中無需取得“Draw on top”權限。
攻擊者只需欺騙用戶在手機上安裝惡意應用,之后請求獲得管理員權限訪問“輔助功能”,用自定義Toast信息覆蓋確認按鈕或其它描述文本。
用戶的界面不會顯示“激活”按鈕,攻擊者可使用Toast信息使“激活”按鈕顯示成“繼續”。
安卓設備現新型Toast覆蓋攻擊濫用合法權限接管設備-E安全
此外,研究人員表示,攻擊者可以讓Toast信息循環顯示,必要時覆蓋合法內容。
Palo Alto Network網絡安全與威脅情報資深經理克里斯多夫·巴德表示,Toast攻擊的利用步驟不多,還能被非Google Play的應用程序利用,這樣一來,利用該漏洞實施攻擊的可行性顯而易見。
通過設備管理員實施攻擊
借助Toast覆蓋攻擊,安裝的惡意應用程序可以誘騙用戶交出設備管理員權限,從而發起破壞性攻擊,包括:
鎖屏
重設PIN碼
清除設備數據
防止用戶卸載應用
受影響的系統版本
Palo Alto表示,除了最新版本(Android 8.0 Oreo)均易遭受Toast覆蓋攻擊。
研究人員5月底向谷歌報告了該漏洞,谷歌給出的回應是要求使用Toast信息的應用程序請求“Draw on top”權限。
這個漏洞編號為CVE-2017-0752,谷歌周二通過2017年9月安卓安全公告發布了補丁。安裝了最新安全補丁的安卓OS版本不會遭遇Toast覆蓋攻擊。
京公網安備 11010502049343號