LB
Service-Hotline
Entwéckler kéinten duerch en Designfehler an Android lästeg Pop-up-Annoncen oder Phishing-Attacken a mobil Apps verschleichen, laut Fuerscher.
LAS VEGAS–Fuerscher hunn e sougenannten Designfehler an Android entdeckt, deen vu Krimineller benotzt kéint ginn, fir Daten iwwer Phishing ze klauen, oder vu Reklaméierer, fir nervend Pop-up-Reklammen op Telefonen ze weisen.
Entwéckler kënnen Apps erstellen, déi harmlos ausgesinn, awer déi zum Beispill eng gefälschte Login-Säit fir eng Bankapp uweisen, wann de Benotzer déi legitim Bankapp benotzt, sot den Nicholas Percoco, Senior Vice President a Chef vu SpiderLabs bei Trustwave, viru senger Presentatioun iwwer d’Fuerschung op der DefCon Hackerkonferenz haut.
Aktuell weisen Apps, déi mam Benotzer kommunizéiere wëllen, während eng aner App gekuckt gëtt, einfach eng Warnung an d’Notifikatiounsleiste uewen um Bildschierm. Mee et gëtt eng Applikatiounsprogramméierungsinterface am Android Software Development Kit, déi benotzt ka ginn, fir eng spezifesch App an de Virdergrond ze réckelen, sot hien.
„Android erlaabt Iech, de Standard fir (d’Drécken op) d’Zréck-Knäppercher ze iwwerschreiwen“, sot de Sean Schulte, SSL (Secure Sockets Layer) Entwéckler bei Trustwave.
„Dofir kann d’App de Fokus klauen an Dir kënnt net op de Back-Knäppchen drécken fir erauszegoen“, sot de Percoco a füügt bäi, datt si de Problem d’Focus Stealing Vulnerability genannt hunn.
D’Fuerscher hunn en Proof-of-Concept-Tool entwéckelt, dat e Spill ass, awer och gefälscht Uweisungen fir Facebook, Amazon, Google Voice an de Google E-Mail Client ausléist. Den Tool installéiert sech als Deel vun enger Payload an enger legitimer App a registréiert sech als Service, sou datt en no der Neistart vum Telefon erëm ufänkt, sot de Percoco.
An enger Demo, déi e Benotzer weist, wéi hien d’App opmécht an de Login-Bildschierm fir Facebook gesäit, ass déi eenzeg Indikatioun, datt eppes Komesches geschitt ass, e Bildschierm, deen esou séier opbléist, datt vill Benotzer et net mierken. De gefälschten Ecran ersetzt dee legitimen komplett, sou datt e Benotzer net mierke kéint, datt eppes net op der Plaz ass.
Mat dësem Designfehler kënnen Spill- oder App-Entwéckler gezielt Pop-up-Annoncen erstellen, sot de Percoco. D’Annoncen kéinten einfach nëmmen nervend sinn, wéi déi meescht Pop-ups, awer si kéinten och gezielt sinn, eng Annonce ze weisen, wann d’App vun engem Konkurrent benotzt gëtt, huet hien derbäigesat.
„Also ass déi ganz Welt vu Reklammen, déi um Bildschierm mateneen kämpfen, elo méiglech“, sot de Percoco, deen zesumme mam Christian Papathanasiou d’lescht Joer en Android-Rootkit op der DefCon demonstréiert huet .
D’Funktionalitéit géif keng Warnsignaler an den ugewise Permissiounen ausléisen, wann de Benotzer d’App erofluet, well et eng legitim Funktioun fir Apps ass, den Telefonszoustand am sougenannten Aktivitéitsservice ze kontrolléieren, laut Schulte.
De Percoco sot, d’Fuerscher hätten virun e puer Wochen mat engem bei Google iwwer hir Resultater geschwat an datt déi Persoun zouginn huet, datt et e Problem gouf, a gesot huet, datt d’Firma probéiert erauszefannen, wéi se et léise kann, ouni d’Funktionalitéit vu legitimen Apps ze stéieren, déi et benotze kéinten.
Wéi e Vertrieder vu Google fir e Kommentar kontaktéiert gouf, sot hien, hie géif sech mat der Saach beschäftegen.
Aktualiséierung den 8. August 2011 um 15:50 Auer PT E Google-Sprecher huet dës Erklärung ginn: “D’Wiesselen tëscht Applikatiounen ass eng gewënscht Funktioun, déi vu ville Applikatioune benotzt gëtt, fir eng räich Interaktioun tëscht Applikatiounen ze fërderen. Mir hunn keng Apps gesinn, déi dës Technik béiswëlleg um Android Market benotzen, a mir wäerten all Apps ewechhuelen, déi dat maachen.”
De Google-Sprecher huet CNET och op Visidon säin AppLock als Beispill higewisen, wéi dës Funktionalitéit benotzt gëtt. D’App benotzt Gesiichtserkennungstechnologie fir onerlaabten Zougang zu Deeler vun Ärem Telefon, wéi Är Gmail App, ze verhënneren. Déi legitim Notzung vun der Funktionalitéit, déi an der Schwachstelle an dësem Beispill beschriwwe gëtt, géif d’Passwuertufro-Interface vun AppLock iwwer déi vu Gmail rutschen, wann Dir drop tippt. Well AppLock Äert Gesiicht als Passwuert benotzt, géif et weiderrutschen, Äert Gesiicht als dat genehmegt Passwuert erkennen an dann ewechrutschen.
Aktualiséierung den 8. August 2011 um 19:40 Auer PT D’Äntwert vum Percoco op d’Ausso vu Google: “Applikatiounswiessel ass net de Problem. De richtege Problem ass d’Fäegkeet vun aneren Apps ze identifizéieren, wéi eng App am Virdergrond ass an dann ze decidéieren, virun déi lafend App ze sprangen, ouni datt de Benotzer hir d’Erlaabnes dofir gëtt. Mir gesinn och net, wéi se den Ënnerscheed tëscht enger béiswëlleger App an enger legitimer kéinte bestëmmen, well se allebéid bal identesch ausgesinn, bis e Benotzer se him als béiswëlleg mellt. D’Haltung ‘waart bis eng App als schlecht gemellt gëtt, ier Dir se läscht’ ass geféierlech a wäert sech wahrscheinlech als fruchtlos erausstellen, well Attacker Apps vill méi séier eropluede kéinten, wéi Google se identifizéiere a vum Market ewechhuele kéint.”
De Seth Rosenblatt vun CNET huet zu dësem Bericht bäigedroen.
Quell: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
