SR
Сервисна линија
Истраживачи тврде да би програмери могли да убаце досадне искачуће огласе или фишинг нападе у мобилне апликације путем грешке у дизајну Андроида.
ЛАС ВЕГАС — Истраживачи су открили оно што називају грешком у дизајну Андроида коју би криминалци могли да искористе за крађу података путем фишинга или оглашивачи да приказују досадне искачуће огласе на телефонима.
Програмери могу да креирају апликације које делују безопасно, али које могу да приказују лажну страницу за пријаву на банкарску апликацију, на пример, када корисник користи легитимну банкарску апликацију, рекао је Николас Перкоко, виши потпредседник и шеф СпајдерЛабса у компанији Траствејв, уочи своје презентације о истраживању на данашњој хакерској конференцији ДефКон.
Тренутно, апликације које желе да комуницирају са корисником док се прегледа друга апликација само прикажу обавештење на траци са обавештењима на врху екрана. Али постоји интерфејс за програмирање апликација у Андроидовом комплету за развој софтвера који се може користити за померање одређене апликације у први план, рекао је он.
„Андроид вам омогућава да поништите стандард за (притискање) дугмади за назад“, рекао је Шон Шулте, SSL (Secure Sockets Layer) програмер у Trustwave-у.
„Због тога, апликација је у стању да украде фокус и не можете да притиснете дугме за назад да бисте изашли“, рекао је Перкоко, додајући да су проблем назвали рањивост крађе фокуса.
Истраживачи су креирали алат за доказивање концепта који је игра, али такође покреће лажне приказе за Фејсбук, Амазон, Гугл Војс и Гуглов имејл клијент. Алат се инсталира као део корисног оптерећења унутар легитимне апликације и региструје се као услуга тако да се поново активира након поновног покретања телефона, рекао је Перкоко.
У демо снимку који приказује корисника како отвара апликацију и види екран за пријаву на Фејсбук, једини показатељ да се нешто чудно догодило јесте бљесак на екрану толико брз да многи корисници не би ни приметили. Лажни екран потпуно замењује прави, тако да корисник не би могао да примети да нешто није на свом месту.
Перкоко је рекао да програмери игара или апликација могу да креирају циљане искачуће огласе, рекавши да су то само досадни огласи, али да би такође могли бити циљани да приказују оглас када се користи конкурентска апликација, додао је.
„Дакле, цео свет реклама које се међусобно боре на екрану сада је могућ“, рекао је Перкоко, који је заједно са Кристијаном Папатанасијуом демонстрирао Андроид руткит на ДефКону прошле године.
Функционалност не би изазвала никаква упозорења у дозволама које се приказују када корисник преузме апликацију, јер је то легитимна функција за апликације да проверавају стање телефона у ономе што се назива услуга активности, према Шултеу.
Перкоко је рекао да су истраживачи разговарали са неким у Гуглу о својим налазима пре неколико недеља и да је та особа признала да постоји проблем и рекла да компанија покушава да схвати како да га реши без нарушавања функционалности легитимних апликација које га можда користе.
Када је контактиран за коментар, представник компаније Google је рекао да ће испитати ствар.
Ажурирано 8. августа 2011. у 15:50 часова по пацифичком времену Портпарол компаније Google је дао следећу изјаву: „Пребацивање између апликација је жељена могућност коју многе апликације користе за подстицање богате интеракције између апликација. Нисмо видели ниједну апликацију која злонамерно користи ову технику на Android Market-у и уклонићемо све апликације које то раде.“
Портпарол компаније Google је такође упутио CNET на Висидонов AppLock као пример како се та функционалност користи. Апликација користи технологију препознавања лица како би спречила неовлашћени приступ деловима вашег телефона, као што је ваша Gmail апликација. Легитимна употреба функционалности описане у рањивости у овом примеру би померила AppLock-ов интерфејс за захтев за лозинку преко Gmail-овог када га додирнете. Пошто AppLock користи ваше лице као лозинку, он би се померио, омогућио да ваше лице буде препознато као одобрена лозинка, а затим би се склонио.
Ажурирано 8. августа 2011. у 19:40 по пацифичком времену Перкоков одговор на Гуглову изјаву: „Пребацивање између апликација није проблем. Прави проблем је могућност да друге апликације идентификују која је апликација у првом плану, а затим одлуче да пређу испред те покренуте апликације без да им корисник да дозволу за то. Такође не видимо како би могли да утврде разлику између злонамерне и легитимне апликације, јер би обе изгледале готово идентично док им корисник не пријави злонамерну. Став „сачекај док се апликација не пријави као лоша пре уклањања“ је опасан и вероватно ће се показати као узалудан покушај, јер би нападачи могли да објављују апликације много брже него што би Гугл могао да их идентификује и уклони са Маркета.“
Сет Розенблат из CNET-а је допринео овом извештају.
Извор: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
