התקפת אנדרואיד חדשה עם שם מגניב עלולה לזרוע הרס בטלפון שלך

רוב התוכנות הזדוניות דורשות צורה כלשהי של אינטראקציה פעילה של המשתמש על מנת להדביק מכשיר - לחיצה על קישור בדוא"ל דיוג, או התקנה של תוכנה ממקור לא מאומת.

אבל סוג חדש של התקפה, מדובבגלימה ופגיון, יכול בעצם להשתלט על טלפון האנדרואיד שלך ללא עזרתך (המודעה). גרוע מכך, אף גרסה מרכזית של אנדרואיד אינה בטוחה בשלב זה.

ראה גם:

מתואר על ידי צוות חוקרים מאוניברסיטת קליפורניה ומהמכון הטכנולוגי של ג'ורג'יה, גלימה ופגיון מסתמכת על האופן שבו ממשק המשתמש של אנדרואיד מטפל בהרשאות מסוימות.

אם מורידים אפליקציה מחנות Play של גוגל, טוענים החוקרים, היא ניתנת אוטומטית להרשאת SYSTEM_ALERT_WINDOW, הלא היא "צייר למעלה". סביר להניח שראית את ההרשאה הזו בפעולה -- היא משמשת את ראשי הצ'אט של פייסבוק, שצפים מעל תוכן אחר על המסך שלך.

זה יכול לשמש כדי לחטוף את הקליקים של המשתמש ולפתות אותה לתת לאפליקציה הרשאה נוספת, הנקראת BIND_ACCESSIBILITY_SERVICE או a11y, שיכולה לשמש לגניבת הסיסמאות והסיכות שלך, למשל.

האקר המשלב את שתי הפגיעויות הללו יכול להתקין בשקט אפליקציית "מצב אלוהים" עם כל ההרשאות מופעלות, כולל גישה להודעות ולשיחות שלך.

למרות שהרבה מזה הוא התנהגות מכוונת ולא ניצול ממשי, זה בהחלט יכול לשמש כדי להשתלט על המכשיר של מישהו. החוקרים טוענים שהם בדקו את זה על 20 נבדקים אנושיים, שאף אחד מהם לא הבין מה קורה.

הדבר היחיד שמגן על המשתמשים כרגע הוא העובדה שכדי לעשות את כל זה, יש להוריד את האפליקציה הזדונית מחנות ה-Play הרשמית של גוגל, כלומר עליה לעבור את בדיקות האבטחה של גוגל. אבל מהעברדוגמאותאנחנו יודעים שזה בהחלט אפשרי להאקרים זדוניים להחליק אפליקציה שורצת תוכנות זדוניות לחנות Play.

"ניסוי מהיר מראה שזה טריוויאלי לקבל אפליקציה כזו בחנות Google Play", טוענים החוקרים. "הגשנו אפליקציה הדורשת את שתי ההרשאות הללו ומכילה פונקציונליות לא מעורפלת להורדה וביצוע של קוד שרירותי (ניסיון לדמות התנהגות זדונית בבירור): אפליקציה זו אושרה לאחר מספר שעות בלבד (והיא עדיין זמינה ב- חנות Google Play)", כתבו.

בעוד שגוגל תיקנה את הבעיה באופן חלקי בגרסה העדכנית ביותר של אנדרואיד (7.1.2), החוקרים טוענים שעדיין ניתן באופן מלא לנצל את נקודות התורפה המתוארות לעיל. לדברי החוקרים, לא מדובר ב"באגים פשוטים" אלא ב"בעיות הקשורות לעיצוב", כלומר ייקח יותר זמן לתקן אותם; יתרה מכך, גוגל מחשיבה חלק מהבעיות הללו כתכונות, ואינה מתכננת כרגע לתקן אותן.

כדי להגן על המכשירים שלהם, הדבר היחיד שמשתמשים יכולים לעשות כרגע הוא לבדוק לאילו אפליקציות יש גישה להרשאות "ציור על גבי" ו-a11y. השלבים לעשות זאת משתנים בגרסאות שונות של אנדרואיד; הם רשומיםכָּאן.

"היינו בקשר הדוק עם החוקרים וכמו תמיד, אנו מעריכים את המאמצים שלהם לעזור לשמור על בטיחות המשתמשים שלנו. עדכנו את Google Play Protect - שירותי האבטחה שלנו בכל מכשירי האנדרואיד עם Google Play - כדי לזהות ו למנוע את ההתקנה של אפליקציות אלה, לפני הדיווח הזה, כבר בנינו הגנות אבטחה חדשות ב-Android O שתחזק עוד יותר את ההגנה שלנו מפני בעיות אלה קדימה", אמר דובר גוגל.ניתן למעוך.