אנדרואיד עלולה לאפשר חלונות קופצים של פרסומות בנייד או פישינג

מפתחים עלולים להכניס פרסומות קופצות מעצבנות או התקפות פישינג לאפליקציות מובייל באמצעות פגם עיצובי באנדרואיד, כך עולה ממחקרים.

לאס וגאס – חוקרים גילו מה שהם מגדירים כנגוע בעיצוב באנדרואיד שעלול לשמש פושעים לגניבת נתונים באמצעות פישינג או מפרסמים כדי להציג פרסומות קופצות מעצבנות לטלפונים.

מפתחים יכולים ליצור אפליקציות שנראות תמימות אך יכולות להציג דף כניסה מזויף לאפליקציית בנק, למשל, כאשר המשתמש משתמש באפליקציית בנק לגיטימית, אמר ניקולס פרקוקו, סגן נשיא בכיר וראש SpiderLabs ב-Trustwave, לקראת המצגת שלו על המחקר בכנס ההאקרים DefCon היום.

נכון לעכשיו, אפליקציות שרוצות לתקשר עם המשתמש בזמן שאפליקציה אחרת מוצגת פשוט דוחפות התראה לשורת ההתראות בחלק העליון של המסך. אבל יש ממשק תכנות יישומים בערכת פיתוח התוכנה של אנדרואיד שניתן להשתמש בו כדי לדחוף אפליקציה מסוימת לקדמת המסך, הוא אמר.

"אנדרואיד מאפשר לך לעקוף את הסטנדרט של (לחיצה על) כפתורי החזרה", אמר שון שולטה, מפתח SSL (Secure Sockets Layer) ב-Trustwave.

"בגלל זה, האפליקציה מסוגלת לגנוב את הפוקוס ואתה לא יכול ללחוץ על כפתור "חזור" כדי לצאת", אמר פרקוקו, והוסיף כי הם קראו לבעיה פגיעות גניבת פוקוס.

החוקרים יצרו כלי הוכחת היתכנות שהוא בעצם משחק, אך גם מפעיל תצוגות מזויפות עבור פייסבוק, אמזון, גוגל קול ולקוח הדוא"ל של גוגל. הכלי מתקין את עצמו כחלק ממטען בתוך אפליקציה לגיטימית ונרשם כשירות כך שהוא מופיע שוב לאחר אתחול הטלפון, אמר פרקוקו.

בהדגמה המציגה משתמש שפותח את האפליקציה ורואה את מסך ההתחברות לפייסבוק, האינדיקציה היחידה שמשהו מוזר קרה היא תקלה מהירה כל כך במסך שמשתמשים רבים לא ישימו לב. המסך המזויף מחליף לחלוטין את המסך הלגיטימי, כך שמשתמש לא יוכל להבחין שמשהו לא במקום.

עם פגם עיצובי זה, מפתחי משחקים או אפליקציות יכולים ליצור מודעות קופצות ממוקדות, אמר פרקוקו. המודעות יכולות להיות סתם מעצבנות, כמו רוב החלונות הקופצים, אבל הן יכולות גם להיות ממוקדות כך שיציגו מודעה כאשר משתמשים באפליקציה של מתחרה, הוסיף.

"אז כל עולם הפרסומות שנלחמות זו בזו על המסך אפשרי עכשיו", אמר פרקוקו, שהדגים יחד עם כריסטיאן פאפאתנסיו ערכת רוטקיט של אנדרואיד ב-DefCon בשנה שעברה.

הפונקציונליות לא תעורר דגלים אדומים בהרשאות המוצגות כאשר המשתמש מוריד את האפליקציה, מכיוון שמדובר בפונקציה לגיטימית עבור אפליקציות לבדוק את מצב הטלפון במה שנקרא שירות הפעילות, על פי שולטה.

פרקוקו אמרה שהחוקרים שוחחו עם מישהו בגוגל על ​​הממצאים שלהם לפני מספר שבועות, ושהאדם הודה שישנה בעיה ואמרה שהחברה מנסה להבין כיצד לטפל בה מבלי לפגוע בפונקציונליות של אפליקציות לגיטימיות שעשויות להשתמש בה.

כאשר פנו אליו נציג גוגל לקבלת תגובה, הוא אמר כי יבדוק את הנושא.

עדכון 8 באוגוסט 2011 בשעה 15:50 שעון PT דובר גוגל מסר את ההצהרה הבאה: "מעבר בין אפליקציות הוא יכולת רצויה המשמשת אפליקציות רבות כדי לעודד אינטראקציה עשירה בין אפליקציות. לא ראינו אפליקציות המשתמשות בטכניקה זו באופן זדוני בשוק אנדרואיד, ואנו נסיר כל אפליקציה שעושה זאת."

דובר גוגל הפנה את CNET גם לאפליקציית AppLock של Visidon כדוגמה לאופן שבו פונקציונליות זו משמשת. האפליקציה משתמשת בטכנולוגיית זיהוי פנים כדי למנוע גישה לא מורשית לחלקים בטלפון שלך, כגון אפליקציית Gmail שלך. שימוש לגיטימי בפונקציונליות המתוארת בפגיעות בדוגמה זו יכלול החלקת ממשק בקשת הסיסמה של AppLock מעל זה של Gmail כשאתה מקיש עליו. מכיוון ש-AppLock משתמש בפנים שלך כסיסמה שלו, הוא יחליק פנימה, יאפשר לזהות את הפנים שלך כסיסמה שאושרה, ואז יחליק החוצה.

עדכון 8 באוגוסט 2011 בשעה 19:40 שעון PT תגובת Percoco להצהרת גוגל: "החלפת אפליקציות אינה הבעיה. הבעיה האמיתית היא היכולת של אפליקציות אחרות לזהות איזו אפליקציה נמצאת בחזית ואז להחליט לקפוץ מול אותה אפליקציה פעילה מבלי שהמשתמש ייתן לו רשות לעשות זאת. אנחנו גם לא רואים איך הם יוכלו לקבוע את ההבדל בין אפליקציה זדונית לאפליקציה לגיטימית מכיוון ששניהם ייראו כמעט זהים עד שמשתמש מדווח לו עליה כזדונית. הגישה של 'המתן עד שאפליקציה תדווח כגרועה לפני הסרה' היא מסוכנת וסביר להניח שתתברר כמאמץ חסר תועלת מכיוון שתוקפים יוכלו לפרסם אפליקציות הרבה יותר מהר ממה שגוגל תוכל לזהות ולהסיר אותן מחנות השוק."

סת' רוזנבלט מ-CNET תרם לדיווח זה.

מקור: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/