اخبار فناوری اطلاعات
Cloak and Dagger: حملهای مخفی و شایع به تمام سیستم عاملهای اندروید
به تازگی سیستم عامل اندروید دچار حملهای با نام Cloak and Dagger شده است. جالب توجه است که مجرمان پشت این حمله هیچ تبعیضی بین کاربران اندروید قائل نشدند و این حمله را به گونهای در نظر گرفتهاند که بر تمامی نسخههای اندروید اعمال شود.
به گزارش ایتنا از کسپرسکی آنلاین، که این حمله از هیچ آسیبپذیری در سیستم عامل اندروید استفاده نکرده است و تنها با به کارگیری یک سری مجوزهای قانونی صادرشده توسط برنامهها که به طور گسترده در برنامههای مشهور مورد استفاده قرار میگیرند، سوءاستفاده میکند تا به یک سری از ویژگیهای خاص در دستگاهِ دارای سیستمعامل اندروید دسترسی پیدا کند.
با استفاده از این اختیارات و مجوزها، مجرمان میتوانند داده هایی همانند پسوردها را به سرقت ببرند. آنها بر روی تعاملات و تایپهای کاربران اندروید نظارت کامل دارند و به راحتی میتوانند صفحه کلید آنها را مشاهده کنند. باز هم تکرار میکنیم، در این حمله هیچ تفاوتی بین کاربران اندروید وجود ندارد.
این حمله که Cloak and Dagger, نام گرفت توسط کارمندان موسسه فناوری جورجیا و دانشگاه کالیفرنیا Santa Barbara به گوگل گزارش داده شد اما ازآنجاییکه این مشکل ریشه در نحوه طراحی سیستمعامل اندروید دارد، که شامل دو ویژگی استاندارد میشود که طبق طراحی از پیش تعیینشده عمل میکنند، حل شدن این مشکل بسیار سخت خواهد بود.
ماهیت حمله Cloak and Dagger
اگر بخواهیم به طور خلاصه بگوییم این حمله از اپلیکیشن گوگل پلی برای دسیسیه خود استفاده میکند. اگرچه اپلیکیشن بدون هیچ مجوزی خاصی از کاربر سوال می پرسد اما مجرمان میتوانند به راحتی به دستگاه آن ها نفوذ کنند و در این حین کاربر متوجه کوچکترین اشتباهی نشود.
این حمله از دو مجوز پایه؛
۱. SYSTEM_ALERT_WINDOW (“draw on top”)
۲. BIND_ACCESSIBILITY_SERVICE (“a11y”)
در اندروید استفاده میکند.
اما چه مجوزهایی؟ اولین مجوز که به draw on top معروف است یک ویژگی overlay قانونی است که به برنامهها اجازه میدهد تا بر روی صفحه نمایش اصلی همپوشانی داشته و بالاتر از برنامههای دیگر قرار گیرد. اما مجوز دوم به a۱۱y مشهور است و سیاست آن به گونه ای است که برای کاربران معلوم، کور و دارای مشکل بینایی طراحی شده است و به آنها اجازه میدهد تا اطلاعات درخواستی را بهصورت فرمانهای صوتی وارد کنند یا اینکه به محتواهای موردنظر از طریق ویژگی صفحه خواننده، گوش دهند. اما مورد خطرناک تری که در این حمله وجود دارد این است که مجرمان می توانند این حمله را بر روی هر سیستم عامل اندرویدی اجرا کنند.
به دلیل اینکه این حمله به هیچ کد مخربی نیاز ندارد و یک حمله ی به نسبت بی دردسر است، برای مجرمان ساده تر است که برنامه های مخرب خود را ایجاد کنند و بدون اینکه روئیت شوند در گوگل پلی قرار بدهند. با توجه به پیشینه ی گوگل پلی تا الان متوجه شده اید که این فروشگاهها نمیتواند از تمامی بدافزارها مصون بماند و آن جا را برای همیشه ترک نمیکنند.
مجرمان میتوانند در حمله خود فعالیتهای مخربی را که در ادامه به آنها اشاره شده است را انجام دهند:
• حمله پیشرفته clickjacking
• ضبط کردن کلیدهای فشردهشده توسط کاربر بهطور نامحدود
• حملات فیشینگ مخفیانه
• نصب کردن مخفیانه برنامه God-mode که تمامی مجوزها در آن فعال است.
• باز کردن مخفیانه قفل گوشی و فعالیتهای دلخواه در هنگامی که حتی صفحه گوشی خاموش است.
در یک جمله بخواهیم بگوییم مجرمان با این حمله خود میتوانند دسترسی کامل دستگاه شما را به دست بگیرند و بر تمام فعالیتهای شما نظارت داشته باشند.
لایه نامرئی
عمدتا مجرمان از SYSTEM_ALERT_WINDOW برای حملات خود استفاده میکنند. به عنوان مثال مجرمان میتوانند یک لایه نامرئی مجازی روی کیبرد کاربر اندروید در نظر بگیرد و در زمانی که کاربر در حال تایپ کردن یا تاچ کردن رمز عبور خود است آن را ضبط و از آن سوء استفاده کند. برنامههای مخربی که کلیدهای فشرده شده بر روی صفحه کلید را ذخیره میکنند به صورتی که میتوان از آن، اطلاعات تایپ شده کاربران از قبیل رمزهای عبور آنها را سرقت کرد، کیلاگر نامیده می شود.
فیشینگ نهایی
دسترسی به SYSTEM_ALERT_WINDOW و ACCESSIBILITY_SERVICE به مجرمان اجازه میدهد که حملات فیشینگ خود را بدون اینکه کاربر متوجه کوچکترین بدگمانی شود، پیاده سازی کنند.
به عنوان مثال زمانی که کاربر فیسبوک خود را باز میکند و تلاش میکند که نام کاربری و رمز عبور خود را وارد کند، مجوز دسترسی یکی از برنامهها میتوان بر تمام رفتار کاربر و رویدادهایش مشرف باشد. سپس با استفاده از SYSTEM_ALERT_WINDOW و توانایی پوشش برنامههای دیگر، برنامه میتواند صفحه فیشینگ کاربر را که به عنوان مثال در حال وارد کردن رمز عبور است را نشان دهد.
مجرمان در این مورد به راحتی میتوانند به رمز عبور و نام کاربری قربانی دسترسی یابند. اما همه چیز به صفحه فیسبوک خلاصه نمیشود و آنها همین راه را برای صفحه های بانکی در نظر می گیرند و به حساب بانکی کاربر رخنه می کنند. این ویژگی که به یک برنامه مخرب اجازه میدهد تا صفحه نمایش دستگاه را hijack کند، یکی از روشهایی است که توسط مجرمان سایبری و مهاجمان بسیار مورد بهرهبرداری قرار گرفته است تا کاربران اندروید بیخبر را گول زده و آنها را در دام بدافزارها و کلاهبرداریهای فیشینگ اندازد.
با وجود نقصی که در سیستم عامل اندروید وجود دارد گوگل در نظر دارد تا سیاست خود را در Android O تغییر دهد و زمان رونمایی از آن را در سهماهه سوم سال جاری قرار داده است.
چگونه میتوانیم دستگاه خود را در برابر Cloak and Dagger حفظ کنیم؟
محققان این حمله را بر روی سه نسخه از اندروید آزمایش کردند: اندروید ۵، اندروید ۶ و اندروید ۷ که این سه نسخه ۷۰% از دستگاه های اندروید را شامل می شوند. اینطور که بنظر میرسد تمام نسخههای این سیستم عامل در معرض خطر هستند و احتمال خطر برای نسخه های قدیمی تر هم وجود دارد. شاید با وجود تمام گفتهها اگر که سیستم عامل دستگاه شما اندروید است نگران شوید و به فکر راهکاری برای مقابله با این حمله بیوفتید.
در ادامه راهکارهایی را متذکر میشویم که می تواند به محافظت شما در برابر حملات اندرویدی کمک بسزای کند:
۱. از نصب اپلیکیشنهای ناشناخته و نامتداول از گوگل پلی و دیگر فروشگاه ها بپرهیزید. برنامههای رسمی و قانونی هرگز مورد استفاده حمله Cloak and Dagger. قرار نمیگیرند.
۲.به طور منظم مجوز برنامههای مختلف را بر روی دستگاه خود بررسی کنید و برنامه هایی که به آن ها نیاز چندانی ندارید و ضروری نیستند را حذف کنید. این مقاله می تواند به شما به منظور چگونگی انجام این کار کمک کند. (Settings → Apps → Gear symbol → Special access → Draw over other apps)
۳.اما در آخر هرگز نصب راهکار امنیتی برای دستگاه خود را فراموش نکنید. اگر که تا به حال هیچ راهکار امنیتی برای دستگاه خود در نظر نگرفته اید می توانید از نسخه ی رایگان اینترنت سکیوریتی کسپرسکی برای اندروید شروع کنید، مطمئنا آغازی ادامه دار خواهد بود!
منبع : ایتنا