Dizem que o caminho para o inferno é pavimentado com boas intenções. Você pode fazer algo com os fins mais magnânimos, mas se você não for cuidadoso, tudo pode dar errado, incrivelmente rápido.
Uma vulnerabilidade de segurança nos Serviços de Acessibilidade do Android - descoberta pelo pesquisador de segurança da SkyCure, Yair Amit - é um ótimo exemplo disso. Ao explorar uma falha na ferramenta que permite que indivíduos cegos e deficientes visuais usem dispositivos Android, um invasor pode obter o controle do dispositivo, adquirindo privilégios elevados e aproveitando o acesso aos arquivos armazenados nele.
Vamos dar uma olhada e descobrir como você pode impedir que isso aconteça.
Entendendo a falha
A exploração se baseia em pesquisas anteriores da SkyCure, publicadas na conferência RSA deste ano. A pesquisa explorou como, ao criar aplicativos que podem se sobrepor aos outros, e por sua vez lançar os serviços internos de acessibilidade (aprimoramentos da interface do usuário projetados para auxiliar usuários com deficiências), você pode introduzir vários tipos de comportamento maligno, como demonstrado no vídeo abaixo.
Como uma prova de conceito, a SkyCure criou um jogo baseado na popular série de televisão Rick e Morty, que na verdade lança um serviço de acessibilidade malicioso, tudo sem que o usuário perceba.
Ao descrever a ameaça original, a SkyCure diz que ela pode ser usada para “dar a um hacker mal-intencionado permissões virtualmente ilimitadas para seu malware”. Um aplicativo potencial para o ataque, diz o SkyCure, é implantar o ransomware. Ele também pode ser usado para compor e-mails e documentos corporativos por meio do dispositivo do usuário, além de monitorar persistentemente a atividade do dispositivo.
Esse tipo de ataque tem um nome - clickjacking ou, menos comumente, um “ataque de correção da interface do usuário”. O OWASP (o Projeto de Segurança de Aplicativos da Web Aberta) define clickjacking como quando “um invasor usa várias camadas transparentes ou opacas para enganar o usuário e clicar em um botão ou link em outra página quando pretendem clicar na página de nível superior”.
Começando no Android Lollipop (5.x), o Google adicionou uma solução alternativa que, em teoria, teria tornado esse tipo de ataque impossível. A alteração introduzida pelo Google significa que, se um usuário quiser ativar os serviços de acessibilidade, o botão OK não poderá ser coberto por uma sobreposição, impedindo que um invasor os ative com discrição.
Para referência, isso é o que parece quando você inicia um serviço de acessibilidade manualmente. Como você pode ver, o Google é muito explícito sobre as permissões do Android necessárias Como funcionam as permissões do aplicativo Android e por que você deve se importar Como o Android App funciona e por que você deve se importar O Android força os aplicativos para declarar as permissões necessárias ao instalá-los. Você pode proteger sua privacidade, segurança e conta de telefone celular, prestando atenção às permissões ao instalar aplicativos - embora muitos usuários ... Leia Mais. Isso irá impedir muitos usuários de instalar serviços de acessibilidade em primeiro lugar.
Como derrotar as proteções do Google
Yair Amit, no entanto, foi capaz de encontrar uma falha na abordagem do Google.
“Eu estava em um hotel quando me ocorreu que, embora a porta do hotel bloqueasse a minha visão do corredor do lado de fora, havia um olho mágico que não bloqueava a vista. Esta foi a minha epifania que me levou a pensar que se houvesse um buraco na sobreposição, o botão OK poderia estar "coberto na maior parte" e ainda aceitar um toque na área potencialmente muito pequena que não foi coberta, evitando assim a nova proteção e ainda escondendo a verdadeira intenção do usuário ”.
Para testar essa ideia, a desenvolvedora de software da SkyCure, Elisha Eshed, modificou o jogo de Rick e Morty, que foi usado na prova original do conceito de exploração. Eshed criou um pequeno buraco na sobreposição, que estava disfarçado de item de jogo, mas na verdade era o botão de confirmação no serviço de acessibilidade. Quando o usuário clicou no item do jogo, o serviço foi iniciado e, com ele, todo o comportamento indesejável.
Enquanto o exploit original funcionou contra praticamente todos os dispositivos Android com Android KitKat É oficial: Nexus 5 e Android 4.4 KitKat estão aqui É oficial: Nexus 5 e Android 4.4 KitKat estão aqui O Nexus 5 está agora à venda na Google Play Store e está em execução o novíssimo Android 4.4 KitKat, que também será lançado em outros dispositivos "nas próximas semanas". Leia mais e anteriormente, esta abordagem aumenta o número de dispositivos exploráveis para incluir aqueles que executam o Android 5.0 Lollipop Android 5.0 Lollipop: O que é e quando você vai pegá-lo Android 5.0 Lollipop: O que é e quando você vai conseguir Android 5.0 O Lollipop está aqui, mas apenas em dispositivos Nexus. O que exatamente é novo sobre esse sistema operacional e quando você pode esperar que ele chegue ao seu dispositivo? Consulte Mais informação . Como consequência, quase todos os dispositivos Android ativos estão vulneráveis a esse ataque. A SkyCure estima que até 95, 4% dos dispositivos Android podem ser afetados .
Mitigando Contra Isso
De acordo com procedimentos de divulgação responsável e sensatos Divulgação completa ou responsável: como as vulnerabilidades de segurança são divulgadas Divulgação completa ou responsável: como as vulnerabilidades de segurança são divulgadas As vulnerabilidades de segurança em pacotes de software populares são descobertas o tempo todo, mas como elas são relatadas aos desenvolvedores? hackers aprendem sobre vulnerabilidades que podem explorar? Leia mais, o SkyCure entrou em contato com o Google antes de divulgá-lo ao público, para que ele tenha a oportunidade de corrigi-lo. A equipe de segurança do Android do Google decidiu não corrigir o problema e aceitar o risco como consequência do design atual.
Para mitigar a ameaça, a SkyCure recomenda que os usuários executem uma versão atualizada de uma solução móvel de defesa contra ameaças. Eles se defendem proativamente contra ameaças, da mesma forma que um IPS (Intrusion Protection System) ou IDS (Intrusion Detection System) faz. No entanto, eles são predominantemente voltados para usuários corporativos e estão muito além dos meios da maioria dos usuários domésticos.
A SkyCure recomenda que os usuários domésticos se protejam garantindo o download de aplicativos apenas de fontes confiáveis É seguro instalar aplicativos Android de fontes desconhecidas? É seguro instalar aplicativos Android de fontes desconhecidas? A Google Play Store não é sua única fonte de aplicativos, mas é seguro pesquisar em outro lugar? Leia mais, como a Google Play Store. Ele também recomenda que os dispositivos executem uma versão atualizada do Android, embora, devido ao fragmentado processo de atualização do ecossistema Android e das atualizações da operadora Por que o meu celular Android ainda não foi atualizado? Por que meu celular Android ainda não foi atualizado? O processo de atualização do Android é longo e complicado; vamos examiná-lo para descobrir exatamente por que o seu telefone Android demora tanto para atualizar. Leia mais, isso é mais fácil dizer do que fazer.
Vale a pena notar que o Marshmallow - a versão mais recente do Android - exige que os usuários criem manual e especificamente uma sobreposição do sistema, alterando as permissões para esse aplicativo. Embora esse tipo de vulnerabilidade possa afetar os dispositivos que executam o Marshmallow, na realidade isso não acontecerá, pois é muito mais difícil explorá-lo.
Colocando Tudo em Contexto
A SkyCure identificou uma maneira perigosa e viável de um atacante dominar completamente um dispositivo Android. Embora seja assustador, vale a pena lembrar-se de que muitas cartas precisam ser colocadas em prática para que um ataque baseado nele funcione.
O invasor tem que fazer uma das duas coisas. Uma tática seria implantar seu aplicativo na Google Play Store - ignorando, por sua vez, a análise estática e os procedimentos de detecção de ameaças extremamente vigorosos. Isso é extremamente improvável. Seis anos após a abertura, e milhões de aplicativos depois, o Google ficou extremamente bom na identificação de softwares mal-intencionados e falsos. Nesse ponto, o mesmo acontece com a Apple, embora a Microsoft ainda tenha um longo caminho a percorrer.
Como alternativa, os invasores terão que convencer um usuário a configurar seu telefone para aceitar software de fontes não oficiais e instalar um aplicativo desconhecido. Como é improvável que encontre um grande público, será necessário que os atacantes escolham um alvo e o 'lança phish'.
Embora isso seja inevitavelmente um pesadelo para os departamentos corporativos de TI, isso será um problema menor para os usuários domésticos comuns, cuja grande maioria recebe seus aplicativos de uma única fonte oficial, a Google Play Store.
Crédito de imagem: cadeado quebrado por Ingvar Bjork via Shutterstock