CA
Línia directa de servei
Segons els investigadors, els desenvolupadors podrien colar anuncis emergents molestos o atacs de phishing a les aplicacions mòbils a través d’un error de disseny a Android.
LAS VEGAS – Investigadors han descobert el que diuen que és un defecte de disseny a Android que podria ser utilitzat per delinqüents per robar dades mitjançant phishing o pels anunciants per portar anuncis emergents molestos als telèfons.
Els desenvolupadors poden crear aplicacions que semblen innòcues però que poden mostrar una pàgina d’inici de sessió falsa d’una aplicació bancària, per exemple, quan l’usuari utilitza l’aplicació bancària legítima, va dir Nicholas Percoco, vicepresident sènior i cap de SpiderLabs a Trustwave, abans de la seva presentació sobre la investigació a la conferència de hackers de DefCon avui.
Actualment, les aplicacions que volen comunicar-se amb l’usuari mentre es visualitza una aplicació diferent només envien una alerta a la barra de notificacions a la part superior de la pantalla. Però hi ha una interfície de programació d’aplicacions al kit de desenvolupament de programari d’Android que es pot utilitzar per posar una aplicació en particular en primer pla, va dir.
“Android et permet anul·lar l’estàndard per (prémer) els botons de retrocés”, va dir Sean Schulte, desenvolupador de SSL (Secure Sockets Layer) a Trustwave.
“A causa d’això, l’aplicació és capaç de robar el focus i no pots prémer el botó Enrere per sortir”, va dir Percoco, i va afegir que han anomenat el problema Vulnerabilitat de robatori de focus.
Els investigadors han creat una eina de prova de concepte que és un joc però que també activa pantalles falses per a Facebook, Amazon, Google Voice i el client de correu electrònic de Google. L’eina s’instal·la com a part d’una càrrega útil dins d’una aplicació legítima i es registra com a servei, de manera que torna a funcionar després que el telèfon es reiniciï, va dir Percoco.
En una demostració que mostra un usuari obrint l’aplicació i veient la pantalla d’inici de sessió de Facebook, l’únic indici que ha passat alguna cosa estranya és un petit so a la pantalla tan ràpid que molts usuaris no notarien. La pantalla falsa substitueix completament la legítima, de manera que un usuari no podria dir que res està fora de lloc.
Amb aquest defecte de disseny, els desenvolupadors de jocs o aplicacions poden crear anuncis emergents dirigits, va dir Percoco. Els anuncis podrien ser simplement molestos, com la majoria de finestres emergents, però també podrien estar dirigits a mostrar un anunci quan s’utilitza l’aplicació d’un competidor, va afegir.
“Així doncs, tot el món dels anuncis que lluiten entre ells a la pantalla és possible ara”, va dir Percoco, que juntament amb Christian Papathanasiou, va demostrar un rootkit d’Android a la DefCon de l’any passat.
La funcionalitat no generaria cap senyal d’alerta en els permisos que es mostren quan l’usuari descarrega l’aplicació, ja que és una funció legítima perquè les aplicacions comprovin l’estat del telèfon en el que s’anomena Servei d’Activitat, segons Schulte.
Percoco va dir que els investigadors van parlar amb algú de Google sobre les seves troballes fa unes setmanes i que la persona va reconèixer que hi havia un problema i va dir que l’empresa estava intentant esbrinar com solucionar-lo sense trencar cap funcionalitat de les aplicacions legítimes que el poguessin estar utilitzant.
Quan es va contactar amb Google per fer comentaris, va dir que investigaria l’assumpte.
Actualització del 8 d’agost de 2011 a les 15:50 PT Un portaveu de Google va fer aquesta declaració: “Canviar entre aplicacions és una capacitat desitjada que utilitzen moltes aplicacions per fomentar una interacció rica entre aplicacions. No hem vist cap aplicació que utilitzi aquesta tècnica de manera maliciosa a Android Market i eliminarem totes les aplicacions que ho facin”.
El portaveu de Google també va dirigir CNET a AppLock de Visidon com a exemple de com s’utilitza aquesta funcionalitat. L’aplicació utilitza tecnologia de reconeixement facial per evitar l’accés no autoritzat a parts del telèfon, com ara l’aplicació Gmail. L’ús legítim de la funcionalitat descrita en la vulnerabilitat d’aquest exemple faria lliscar la interfície de sol·licitud de contrasenya d’AppLock sobre la de Gmail quan la toqueu. Com que AppLock utilitza la vostra cara com a contrasenya, s’hi lliscaria, permetria que la vostra cara fos reconeguda com a contrasenya aprovada i després desapareixeria.
Actualització del 8 d’agost de 2011 a les 19:40 PT La resposta de Percoco a la declaració de Google: “El canvi d’aplicació no és el problema. El veritable problema és la capacitat que tenen altres aplicacions per identificar quina aplicació està en primer pla i després decidir passar-se per davant d’aquesta aplicació en execució sense que l’usuari li doni permís per fer-ho. Tampoc veiem com podrien determinar la diferència entre una aplicació maliciosa i una de legítima, ja que ambdues semblarien gairebé idèntiques fins que un usuari els la notifiqui com a maliciosa. La postura d'”esperar fins que una aplicació sigui notificada com a dolenta abans d’eliminar-la” és perillosa i probablement resultarà un esforç infructuós, ja que els atacants podrien publicar aplicacions molt més ràpid del que Google podria identificar-les i eliminar-les del Market”.
Seth Rosenblatt, de CNET, ha contribuït a aquest informe.
Font: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
