Cloak & Dagger攻擊：一種可針對所有版本Android的攻擊技術（含演示視頻）

近期，來自美國喬治亞理工學院的安全研究專家

發現了一種名叫「Cloak and Dagger」的新型攻擊，而可怕的地方就在於，這種攻擊技術可以拿下目前所有版本的Android操作系統（最高到v7.1.2）。

「Cloak and Dagger」攻擊允許黑客悄悄獲取到目標Android設備的完整控制權，這也就意味著攻擊者將能夠竊取到用戶包括鍵盤記錄、聊天數據、設備PIN碼、在線賬號密碼、OTP密碼和通訊錄在內的多種隱私數據。

「Cloak and Dagger」攻擊的特點

這種攻擊技術並不需要利用Android生態系統中的任何安全漏洞，相反，

它利用的是Android設備中合法App的許可權，而這些許可權都是目前熱門App用來訪問Android設備特定功能時所必須的許可權。

需要注意的是，研究專家利於這種攻擊技術對另外20名用戶的Android手機進行了攻擊，而沒有一個人能夠檢測到自己手機中任何的惡意活動。

「Cloak and Dagger」攻擊利用了兩大Android基礎許可權：

1. SYSTEM_ALERT_WINDOW ("draw on top")
2. BIND_ACCESSIBILITY_SERVICE ("a11y")

第一個許可權名叫「draw on top」，這個許可權將允許App在設備屏幕上顯示額外的疊加窗口來覆蓋其他的App界面。

第二個許可權為「a11y」，這個許可權旨在幫助包括盲人和視力障礙用戶在內的殘疾人用戶更好地通過語音命令來輸入信息或通過屏幕閱讀功能來了解屏幕內容。

攻擊者能做什麼？（含Demo）

由於這種攻擊技術完全不需要任何的惡意代碼或木馬程序，因此這也很大程度上簡化了黑客開發惡意App的過程，而且他們還可以直接將惡意App上傳至Google Play應用商店，並且完全不用擔心自己的App被標記為可疑應用。除此之外，就Google目前的安全保護機制來看，他們也沒有辦法完全阻止惡意應用出現在自己的App應用商店之中，這一點是無可爭議的事實。

如果你經常關注信息安全類新聞的話，你肯定看到過類似「針對Google Play用戶的惡意軟體已成功感染了應用商店內的數百款App」以及「Google Play應用商店驚現勒索軟體App」之類的標題出現在新聞網站的頭版頭條吧？而就在上個月，研究人員在GooglePlay應用商店中發現了多款偽裝成「搞笑視頻」App的惡意Android應用，當時的下載量已經超過了5000次。當用戶下載並安裝了這些App之後，他們的設備便會感染「BankBot」銀行木馬，一旦感染成功，攻擊者將能夠竊取到目標用戶的銀行密碼。

研究人員在接受採訪時解釋了他們如何在Google Play應用商店中實現Cloak& Dagger攻擊：

「我們提交了一款需要申請上述這兩種許可權的App，App中包含一個下載並執行任意代碼的函數（沒有經過代碼混淆），這個函數會嘗試模擬一次非常明顯的惡意行為，但這個App在幾個小時之後便審批通過，而且這個App目前仍然可以在GooglePlay應用商店中找到。」

當用戶安裝了惡意App之後，攻擊者將能夠執行下列惡意活動：

-高級點擊劫持攻擊；

-不受限制的鍵盤記錄；

-隱蔽性極高的釣魚攻擊；

-靜默安裝一款上帝模式App（開啟所有許可權）；

-悄悄解鎖手機並執行任意活動（整個過程中屏幕保持黑屏狀態）；

簡而言之，Cloak & Dagger攻擊將允許攻擊者悄悄拿到Android設備的完整控制權，並監控你在自己手機上的一舉一動。

研究人員還提供了一系列Cloak & Dagger攻擊的演示視頻。相信我，這些視頻絕對會讓你大開眼界！

Cloak & Dagger: Invisible Grid Attack

Cloak & Dagger: Clickjacking+ Silent God-mode App Install

Cloak & Dagger:Stealthy Phishing Attack

Google無法解決這個問題，至少現在不行…

研究人員目前已經將這種新型的攻擊向量上報給了Google，但因為這個問題是由Android操作系統的底層設計缺陷所導致的（涉及到兩個標準功能，但這兩個功能的行為符合系統預期），所以這個問題目前還無法被修復。

該團隊其中的一名研究人員Yanick Fratantonio表示：「更改一個功能與修復一個漏洞有很大的區別，系統的設計者不用過多的去考慮那些看似無關的功能之間應該如何交互，而各種功能也不會在設備上單獨運行。」

正如研究人員之前在

報告

中所提到的，自從2015年10月份發布的Android Marshmallow（Version6）開始，Google默認會給那些直接從GooglePlay應用商店下載並安裝的App提供"SYSTEM_ALERT_WINDOW "("draw on top ")許可權。這個功能將

允許惡意App劫持設備的屏幕

，而這也是網路犯罪分子進行勒索軟體攻擊和釣魚詐騙時常用的手段。

不過，Google計劃在「Androd O」上修改其原有策略，該系統計劃在今年第三季度發布。所以用戶可能還需要等待很長一段時間，因為目前仍然有上百萬用戶在等待他們的設備生產商推送Android Nougat（N）的更新。換句話來說，絕大多數的Android用戶至少在接下來的一年時間裡仍然有可能受到

勒索軟體

和

銀行木馬

等惡意軟體的侵擾。

臨時處理方案

在Android 7.1.2上，防止Cloak& Dagger攻擊最簡單的方法就是關閉「draw on top」許可權：Settings→Apps →Gear symbol →Special access →Draw over other apps

還是那句話，防止感染惡意軟體的通用方法就是只從Google Play應用商店下載App，但只能信任那些經過驗證的開發人員所提交的App。除此之外，在安裝App之前一定要檢查App的許可權，如果App要求的許可權超過了它原本的功能，請你千萬不要安裝它。

* 參考來源：thehackernews， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！