Wie Sie mit Android Accessibility Services Ihr Telefon hacken können
Es heißt, dass der Weg zur Hölle mit guten Absichten gepflastert ist. Sie können etwas mit den großmütigsten Zielen tun, aber wenn Sie nicht aufpassen, kann alles unglaublich schnell schief gehen.
Eine Sicherheitslücke in den Accessibility Services von Android - entdeckt vom SkyCure-Sicherheitsforscher Yair Amit - ist ein hervorragendes Beispiel dafür. Durch das Ausnutzen eines Fehlers in dem Tool, der Blinden und Sehbehinderten die Verwendung von Android-Geräten ermöglicht, könnte ein Angreifer die Kontrolle über das Gerät erlangen, wobei er erweiterte Berechtigungen erhält und Zugriff auf die darauf gespeicherten Dateien erlangt.
Lassen Sie uns einen Blick darauf werfen und herausfinden, wie Sie dies verhindern können.
Den Fehler verstehen
Der Exploit basiert auf früheren Forschungsergebnissen von SkyCure, die auf der diesjährigen RSA-Konferenz veröffentlicht wurden. In der Untersuchung wurde untersucht, wie Sie durch die Erstellung von Anwendungen, die andere Anwendungen nutzen können, die integrierten Zugänglichkeitsdienste (Benutzeroberflächenverbesserungen, die Benutzer mit Behinderungen unterstützen sollen) starten können, um verschiedene Arten von bösartigem Verhalten einzuführen, wie in der Video unten.
Als Beweis für das Konzept hat SkyCure ein Spiel entwickelt, das auf der beliebten Fernsehserie Rick and Morty basiert und tatsächlich einen böswilligen Dienst für Barrierefreiheit startet, ohne dass der Benutzer dies bemerkt.
In der Beschreibung der ursprünglichen Bedrohung sagt SkyCure, dass dies gewöhnungsbedürftig sein könnte “Geben Sie einem bösartigen Hacker praktisch unbegrenzte Berechtigungen für seine Malware”. Eine mögliche Anwendung für den Angriff, sagt SkyCure, ist die Bereitstellung von Ransomware. Es kann auch verwendet werden, um Unternehmens-E-Mails und -Dokumente über das Benutzergerät zu erstellen und die Geräteaktivität permanent zu überwachen.
Diese Art von Angriff hat einen Namen - Clickjacking oder seltener einen “Angriff der Benutzeroberfläche korrigieren”. OWASP (das Open Web Application Security-Projekt) definiert Clickjacking als wann “Ein Angreifer verwendet mehrere transparente oder undurchsichtige Ebenen, um einen Benutzer dazu zu verleiten, auf eine Schaltfläche oder einen Link auf einer anderen Seite zu klicken, wenn er auf die Seite der obersten Ebene klicken wollte”.
Beginnend mit Android Lollipop (5.x) fügte Google einen Workaround hinzu, der diese Art von Angriff theoretisch unmöglich gemacht hätte. Die von Google eingeführte Änderung hatte zur Folge, dass die Schaltfläche OK nicht von einem Overlay überdeckt werden konnte, wenn ein Benutzer Accessibility Services aktivieren wollte, sodass ein Angreifer sie nicht durch Stealth starten konnte.
So sieht es aus, wenn Sie einen Accessibility-Dienst manuell starten. Wie Sie sehen, geht Google sehr genau auf die erforderlichen Android-Berechtigungen ein. Funktionsweise von Android-App-Berechtigungen und Warum Sie sich darum kümmern sollten Wie Android-Anwendungsberechtigungen funktionieren und Warum Sie sich kümmern sollten Android zwingt Apps dazu, die erforderlichen Berechtigungen bei der Installation festzulegen. Sie können Ihre Privatsphäre, Ihre Sicherheit und Ihre Mobiltelefonrechnung schützen, indem Sie beim Installieren von Apps auf die Berechtigungen achten - obwohl viele Benutzer… Lesen Sie mehr. Dies wird viele Benutzer von der Installation von Accessibility-Diensten abhalten.
Wie man den Schutz von Google besiegt
Yair Amit konnte jedoch einen Fehler in Googles Herangehensweise finden.
“Ich war in einem Hotel, als mir einfiel, dass, obwohl die Hoteltür meinen Blick auf den Flur größtenteils versperrte, ein Türspion die Sicht nicht blockierte. Dies war meine Epiphanie, die mich zu der Annahme veranlasste, dass der OK-Button bei einem Loch in der Überlagerung "meistens bedeckt" sein könnte und immer noch eine Berührung in dem möglicherweise sehr kleinen Bereich, der nicht abgedeckt wurde, akzeptierte, wodurch der neue Schutz u immer noch die wahre Absicht vor dem Benutzer verbergen.”
Um diese Idee zu testen, hat der Entwickler von SkyCure-Software, Elisha Eshed, das Rick and Morty-Spiel modifiziert, das im ursprünglichen Exploit-Proof-of-Concept verwendet wurde. Eshed erstellte ein kleines Loch in der Überlagerung, das als Spielgegenstand getarnt war, aber tatsächlich die Bestätigungsschaltfläche des Zugänglichkeitsdienstes war. Wenn der Benutzer auf das Spielelement geklickt hat, wurde der Dienst gestartet und damit das unerwünschte Verhalten.
Während der ursprüngliche Exploit gegen praktisch alle Android-Geräte mit Android KitKat funktionierte, ist es offiziell: Nexus 5 und Android 4.4 KitKat sind hier offiziell. Nexus 5 und Android 4.4 KitKat sind hier. Das Nexus 5 ist jetzt im Google Play Store erhältlich und läuft das brandneue Android 4.4 KitKat, das in den kommenden Wochen auch auf andere Geräte ausgerollt wird. Lesen Sie mehr und früher, dieser Ansatz erhöht die Anzahl der ausnutzbaren Geräte, um diejenigen zu umfassen, auf denen Android 5.0 Lollipop läuft. Android 5.0 Lollipop: Was ist es und wann erhalten Sie es? Lutscher gibt es hier aber nur auf Nexus-Geräten. Was ist neu an diesem Betriebssystem und wann können Sie davon ausgehen, dass es auf Ihrem Gerät ankommt? Weiterlesen . Infolgedessen sind fast alle aktiven Android-Geräte anfällig für diesen Angriff. SkyCure schätzt, dass bis zu 95,4% der Android-Geräte betroffen sein könnten.
Gegen es mildern
In Übereinstimmung mit vernünftigen, verantwortungsbewussten Offenlegungsverfahren Vollständige oder verantwortliche Offenlegung: Offenlegung von Sicherheitsanfälligkeiten Vollständige oder Verantwortliche Offenlegung: Offenlegung von Sicherheitsanfälligkeiten Sicherheitslücken in gängigen Softwarepaketen werden ständig erkannt, aber wie werden sie an Entwickler gemeldet und wie wird dies gemeldet? Hacker erfahren über Schwachstellen, die sie ausnutzen können? Lesen Sie mehr. SkyCure hat sich vor der Veröffentlichung an Google zuerst mit Google in Verbindung gesetzt, um ihnen die Möglichkeit zu geben, das Problem zu beheben. Das Android-Sicherheitsteam von Google hat beschlossen, das Problem nicht zu beheben, und akzeptiert das Risiko als Folge des aktuellen Designs.
Um die Bedrohung zu mindern, empfiehlt SkyCure den Benutzern, eine aktualisierte Version einer Lösung für mobile Bedrohungsabwehr auszuführen. Diese schützen sich proaktiv gegen Bedrohungen, ähnlich wie ein IPS (Intrusion Protection System) oder IDS (Intrusion Detection System). Sie richten sich jedoch überwiegend an Unternehmensbenutzer und liegen weit über den Möglichkeiten der meisten Heimanwender.
SkyCure empfiehlt Heimanwendern, sich selbst zu schützen, indem sie sicherstellen, dass nur Apps von vertrauenswürdigen Quellen heruntergeladen werden. Ist es sicher, Android-Apps von unbekannten Quellen zu installieren? Ist es sicher, Android-Apps von unbekannten Quellen zu installieren? Der Google Play Store ist nicht Ihre einzige Quelle für Apps. Ist es jedoch sicher, an anderer Stelle zu suchen? Lesen Sie mehr, beispielsweise den Google Play Store. Außerdem wird empfohlen, dass auf den Geräten eine aktualisierte Version von Android ausgeführt wird, obwohl das fragmentierte Android-Ökosystem und die von Betreibern betriebenen Aktualisierungsprozesse verwendet werden. Warum hat mein Android-Handy noch keine Aktualisierung vorgenommen? Warum wurde mein Android-Handy noch nicht aktualisiert? Der Android-Update-Prozess ist lang und kompliziert. Lassen Sie uns dies genau untersuchen, um herauszufinden, warum Ihr Android-Handy so lange dauert, bis es aktualisiert wird. Lesen Sie mehr, das ist leichter gesagt als getan.
Es ist erwähnenswert, dass Marshmallow - die neueste Version von Android - die Benutzer dazu auffordert, manuell und speziell ein System-Overlay zu erstellen, indem die Berechtigungen für diese App geändert werden. Diese Art der Sicherheitsanfälligkeit kann sich auf Geräte auswirken, auf denen Marshmallow ausgeführt wird. In der Realität wird dies jedoch nicht passieren, da sie erheblich schwerer auszunutzen ist.
Alles in einen Kontext stellen
SkyCure hat festgestellt, dass ein Angreifer auf gefährliche und praktikable Weise ein Android-Gerät vollständig beherrschen kann. Es ist zwar beängstigend, aber es lohnt sich, daran zu erinnern, dass viele Karten eingesetzt werden müssen, damit ein Angriff funktionieren kann.
Der Angreifer muss entweder eine von zwei Aktionen ausführen. Eine Taktik wäre die Bereitstellung ihrer Anwendung für den Google Play Store. Dabei werden die äußerst statischen Analyse- und Bedrohungserkennungsverfahren umgangen. Dies ist äußerst unwahrscheinlich. Seit der Eröffnung sechs Jahre und Millionen von Anwendungen später hat Google extrem gut Malware und falsche Software erkannt. Dies gilt auch für Apple, obwohl Microsoft noch einen langen Weg vor sich hat.
Alternativ müssen die Angreifer einen Benutzer dazu verleiten, das Telefon so einzustellen, dass Software von nicht offiziellen Quellen akzeptiert wird, und eine ansonsten unbekannte Anwendung zu installieren. Da es unwahrscheinlich ist, dass eine große Zielgruppe gefunden wird, müssen die Angreifer entweder ein Ziel auswählen und es "spear phish" machen.
Während dies für die IT-Abteilungen der Unternehmen unvermeidlich ein Alptraum sein wird, ist dies für normale Heimanwender weniger problematisch. Die überwiegende Mehrheit davon erhält ihre Apps aus einer einzigen, offiziellen Quelle - dem Google Play Store.
Bildnachweis: Gebrochenes Vorhängeschloss von Ingvar Bjork über Shutterstock
Erfahren Sie mehr über: Clickjacking, Google Play, Smartphone-Sicherheit.