安卓設備現新型Toast覆蓋攻擊

E安全9月9日訊 Palo Alto Networks的手機安全專家詳述了一種很對安卓設備的新型攻擊，使用「Toast」（Android系統中用來顯示信息的一種機制）信息幫助惡意軟體獲取管理員許可權或訪問安卓「輔助功能」（Accessibility）。

過去幾年，大多數臭名昭著的安卓軟體曾使用同樣的技倆完全控制用戶設備，其主要依靠惡意軟體在應用程序安裝過程中愚弄用戶授權（通過「Draw on top」許可權）在其它應用程序上顯示內容。

一旦惡意應用程序獲取了這項許可權，惡意應用便能在用戶屏幕上顯示入侵彈出窗口，要求用戶確認信息或採取某些措施。

現實中，惡意應用會要求訪問安卓輔助功能，但會使用「Draw on top」在「激活」按鈕上面顯示虛假信息。這種技術至少已經被攻擊者用來實施攻擊長達兩年，這是研究人員首次對這種被命名為「斗篷與匕首」（Cloak & Dagger）攻擊進行了深度剖析。

「斗篷與匕首」攻擊新花樣

Palo Alto專家表示，研究的目的是為了調查實施「斗篷和匕首」攻擊的其它方式。

安卓操作系統和許多應用程序使用Toast信息（顯示在屏幕底部的彈出窗口）顯示提示信息，例如在Gmail確認發送信息或用戶連接到無線網路時的提示信息。

Palo Alto研究人員指出，攻擊者能使用Toast信息執行「斗篷和匕首」攻擊。因為Toast信息有利於攻擊者，這些信息會顯示在任何應用程序上面，而惡意應用程序在安裝過程中無需取得「Draw on top」許可權。

攻擊者只需欺騙用戶在手機上安裝惡意應用，之後請求獲得管理員許可權訪問「輔助功能」，用自定義Toast信息覆蓋確認按鈕或其它描述文本。

用戶的界面不會顯示「激活」按鈕，攻擊者可使用Toast信息使「激活」按鈕顯示成「繼續」。

此外，研究人員表示，攻擊者可以讓Toast信息循環顯示，必要時覆蓋合法內容。

Palo Alto Network網路安全與威脅情報資深經理克里斯多夫·巴德表示，Toast攻擊的利用步驟不多，還能被非Google Play的應用程序利用，這樣一來，利用該漏洞實施攻擊的可行性顯而易見。

通過設備管理員實施攻擊

藉助Toast覆蓋攻擊，安裝的惡意應用程序可以誘騙用戶交出設備管理員許可權，從而發起破壞性攻擊，包括：

鎖屏

重設PIN碼

清除設備數據

防止用戶卸載應用

受影響的系統版本

Palo Alto表示，除了最新版本（Android 8.0 Oreo）均易遭受Toast覆蓋攻擊。

研究人員5月底向谷歌報告了該漏洞，谷歌給出的回應是要求使用Toast信息的應用程序請求「Draw on top」許可權。

這個漏洞編號為CVE-2017-0752，谷歌周二通過2017年9月安卓安全公告發布了補丁。安裝了最新安全補丁的安卓OS版本不會遭遇Toast覆蓋攻擊。。

註：本文由E安全編譯報道,轉載請註明原文地址

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！