目录:
一个名为Cloak&Dagger的新Android漏洞被公布,并且正如其名称一样,它描述了恶意应用可以利用两个Android权限来窃取击键并诱骗用户泄露个人信息的方式。
但它危险吗? 让我们快点分解吧。
斗篷和匕首是什么?
Cloak&Dagger是两个可利用的Android权限组合的名称,当单独使用或通过恶意应用程序单独使用时,可能会产生可怕的后果。
它由乔治亚理工学院和加州大学圣巴巴拉分校的四人团队出版,作为概念验证 。
它不是一个活跃的漏洞,到目前为止还没有公开使用它。
它是如何工作的?
根据团队的说法,Cloak&Dagger利用两个Android权限 - SYSTEM_ALERT_WINDOW(“在顶部绘制”)和BIND_ACCESSIBILITY_SERVICE(“a11y”) - 当一起工作或单独工作时,使应用程序能够“收听”并窃取文本输入,如密码,双因素身份验证号码或个人数据。
Cloak&Dagger是一类影响Android设备的新型潜在攻击。 这些攻击允许恶意应用程序完全控制UI反馈循环并接管设备 - 而不会让用户有机会注意到恶意活动。 这些攻击只需要两个权限,如果从Play商店安装应用程序,用户不需要明确授予,甚至不会通知她。 我们的用户研究表明这些攻击是实用的。
“在顶部绘制”权限被称为Android覆盖功能,并被Facebook Messenger和三星自己的多窗口功能等许多应用程序使用,以启用可以最小化并在其他应用程序之上移动的“窗口”。
漏洞利用如何运作?
因为这两个权限都不是从Android 6.0 Marshmallow开始的Android显式权限授予系统的一部分,所以当下载恶意应用程序时,应用程序可以自动授予“最高权限”权限。
一旦发生这种情况,该应用程序一旦打开,就可以在知名应用程序(如Facebook)之上创建一个叠加层,以“钓鱼”输入密码。 它还可以叠加在Android键盘上,拾取所有输入的文本。
可访问性权限有点难以强制用户启用,但团队表示其概念证明使用覆盖权限来诱骗用户激活它。 一旦启用两者,“神模式”应用程序可能会窃取手机上使用的任何应用程序的数据。
每个人都受到影响
根据团队的说法,Cloak&Dagger会影响Android的所有版本,包括Android 5.0, 6.0和7.0,直到最新版本的Android 7.1.2。
Android 7.0及更高版本使得 某些 叠加漏洞利用工作变得更加困难,但是一些聪明才智仍然可以解决它。
你要担心吗?
目前,没有已知的应用程序利用这些权限进行恶意攻击,尽管现在它们是公开的,可能会发生变化。 该团队发布了这项研究,以迫使谷歌改善体验,因为与其他Android漏洞不同,这些漏洞利用了权限本身的设计缺陷,而不是软件中的漏洞或漏洞。
你能做些什么来保护自己?
如果您对所使用的应用程序非常小心,这对您来说不是问题。
很多情况下都是Android的安全漏洞,但只要你小心授予覆盖权限,Cloak&Dagger就不用担心了。
为了减轻Cloak&Dagger的潜在影响,最好查看哪些应用可以在您的Android系统上创建叠加层。 在大多数Android版本中,以下是如何操作:
- 打开Android设置 。
- 向下滚动并点按应用 。
- 点击“ 菜单”或“齿轮”图标。
- 查找并点按特殊访问权限 。 它通常位于“高级”标题下。
- 点击绘制其他应用程序 。 这些是可以使用上述权限创建叠加层的应用。
- 禁用您无法识别的任何应用。
更多:如何关闭Galaxy S8上的屏幕叠加
别恐慌!
说真的,如果你对你下载的应用程序保持谨慎,这不是什么大问题,特别是因为谷歌现在每天使用Play Protect系统扫描500亿个恶意软件应用程序。
希望Google能够公开解决这个问题,或至少提供一些关于它打算如何处理app叠加层的澄清。 Android O应该通过使用新API重构覆盖问题来完全消除这个问题,但目前还不清楚谷歌计划如何解决早期版本的问题。
