1.png

近期,来自美国佐治亚理工学院的安全研究专家发现了一种名叫“Cloak and Dagger”的新型攻击,而可怕的地方就在于,这种攻击技术可以拿下目前所有版本的Android操作系统(最高到v7.1.2)。

“Cloak and Dagger”攻击允许黑客悄悄获取到目标Android设备的完整控制权,这也就意味着攻击者将能够窃取到用户包括键盘记录、聊天数据、设备PIN码、在线账号密码、OTP密码和通讯录在内的多种隐私数据。

“Cloak and Dagger”攻击的特点

这种攻击技术并不需要利用Android生态系统中的任何安全漏洞,相反,它利用的是Android设备中合法App的权限,而这些权限都是目前热门App用来访问Android设备特定功能时所必须的权限。

需要注意的是,研究专家利于这种攻击技术对另外20名用户的Android手机进行了攻击,而没有一个人能够检测到自己手机中任何的恶意活动。

“Cloak and Dagger”攻击利用了两大Android基础权限:

1.    SYSTEM_ALERT_WINDOW ("draw on top") 2.    BIND_ACCESSIBILITY_SERVICE ("a11y")

第一个权限名叫“draw on top”,这个权限将允许App在设备屏幕上显示额外的叠加窗口来覆盖其他的App界面。

第二个权限为“a11y”,这个权限旨在帮助包括盲人和视力障碍用户在内的残疾人用户更好地通过语音命令来输入信息或通过屏幕阅读功能来了解屏幕内容。

攻击者能做什么?(含Demo)

由于这种攻击技术完全不需要任何的恶意代码或木马程序,因此这也很大程度上简化了黑客开发恶意App的过程,而且他们还可以直接将恶意App上传至Google Play应用商店,并且完全不用担心自己的App被标记为可疑应用。除此之外,就Google目前的安全保护机制来看,他们也没有办法完全阻止恶意应用出现在自己的App应用商店之中,这一点是无可争议的事实。

如果你经常关注信息安全类新闻的话,你肯定看到过类似“针对Google Play用户的恶意软件已成功感染了应用商店内的数百款App”以及“Google Play应用商店惊现勒索软件App”之类的标题出现在新闻网站的头版头条吧?而就在上个月,研究人员在GooglePlay应用商店中发现了多款伪装成“搞笑视频”App的恶意Android应用,当时的下载量已经超过了5000次。当用户下载并安装了这些App之后,他们的设备便会感染“BankBot”银行木马,一旦感染成功,攻击者将能够窃取到目标用户的银行密码。

 2.jpg

研究人员在接受采访时解释了他们如何在Google Play应用商店中实现Cloak& Dagger攻击:

“我们提交了一款需要申请上述这两种权限的App,App中包含一个下载并执行任意代码的函数(没有经过代码混淆),这个函数会尝试模拟一次非常明显的恶意行为,但这个App在几个小时之后便审批通过,而且这个App目前仍然可以在GooglePlay应用商店中找到。”

当用户安装了恶意App之后,攻击者将能够执行下列恶意活动:

-高级点击劫持攻击;

-不受限制的键盘记录;

-隐蔽性极高的钓鱼攻击;

-静默安装一款上帝模式App(开启所有权限);

-悄悄解锁手机并执行任意活动(整个过程中屏幕保持黑屏状态);

简而言之,Cloak & Dagger攻击将允许攻击者悄悄拿到Android设备的完整控制权,并监控你在自己手机上的一举一动。

研究人员还提供了一系列Cloak & Dagger攻击的演示视频。相信我,这些视频绝对会让你大开眼界!

Cloak & Dagger: Invisible Grid Attack

Cloak & Dagger: Clickjacking+ Silent God-mode App Install

Cloak & Dagger:Stealthy Phishing Attack

Google无法解决这个问题,至少现在不行…

研究人员目前已经将这种新型的攻击向量上报给了Google,但因为这个问题是由Android操作系统的底层设计缺陷所导致的(涉及到两个标准功能,但这两个功能的行为符合系统预期),所以这个问题目前还无法被修复。

该团队其中的一名研究人员Yanick Fratantonio表示:“更改一个功能与修复一个漏洞有很大的区别,系统的设计者不用过多的去考虑那些看似无关的功能之间应该如何交互,而各种功能也不会在设备上单独运行。”

正如研究人员之前在报告中所提到的,自从2015年10月份发布的Android Marshmallow(Version6)开始,Google默认会给那些直接从GooglePlay应用商店下载并安装的App提供”SYSTEM_ALERT_WINDOW “(“draw on top “)权限。这个功能将允许恶意App劫持设备的屏幕,而这也是网络犯罪分子进行勒索软件攻击和钓鱼诈骗时常用的手段。

不过,Google计划在“Androd O”上修改其原有策略,该系统计划在今年第三季度发布。所以用户可能还需要等待很长一段时间,因为目前仍然有上百万用户在等待他们的设备生产商推送Android Nougat(N)的更新。换句话来说,绝大多数的Android用户至少在接下来的一年时间里仍然有可能受到勒索软件银行木马等恶意软件的侵扰。

临时处理方案

在Android 7.1.2上,防止Cloak& Dagger攻击最简单的方法就是关闭“draw on top”权限:Settings→Apps →Gear symbol →Special access →Draw over other apps

还是那句话,防止感染恶意软件的通用方法就是只从Google Play应用商店下载App,但只能信任那些经过验证的开发人员所提交的App。除此之外,在安装App之前一定要检查App的权限,如果App要求的权限超过了它原本的功能,请你千万不要安装它。

* 参考来源:thehackernews, FB小编Alpha_h4ck编译