新闻快讯
< >

安卓设备现新型Toast覆盖攻击滥用合法权限接管设备

E安全9月9日讯 Palo Alto Networks的手机安全专家详述了一种很对安卓设备的新型攻击,使用“Toast”(Android系统中用来显示信息的一种机制)信息帮助恶意软件获取管理员权限或访问安卓“辅助功能”(Accessibility)。

过去几年,大多数臭名昭著的安卓软件曾使用同样的技俩完全控制用户设备,其主要依靠恶意软件在应用程序安装过程中愚弄用户授权(通过“Draw on top”权限)在其它应用程序上显示内容。

安卓设备现新型Toast覆盖攻击滥用合法权限接管设备-E安全

一旦恶意应用程序获取了这项权限,恶意应用便能在用户屏幕上显示入侵弹出窗口,要求用户确认信息或采取某些措施。

现实中,恶意应用会要求访问安卓辅助功能,但会使用“Draw on top”在“激活”按钮上面显示虚假信息。这种技术至少已经被攻击者用来实施攻击长达两年,这是研究人员首次对这种被命名为“斗篷与匕首”(Cloak & Dagger)攻击进行了深度剖析。

“斗篷与匕首”攻击新花样

Palo Alto专家表示,研究的目的是为了调查实施“斗篷和匕首”攻击的其它方式。

安卓操作系统和许多应用程序使用Toast信息(显示在屏幕底部的弹出窗口)显示提示信息,例如在Gmail确认发送信息或用户连接到无线网络时的提示信息。

Palo Alto研究人员指出,攻击者能使用Toast信息执行“斗篷和匕首”攻击。因为Toast信息有利于攻击者,这些信息会显示在任何应用程序上面,而恶意应用程序在安装过程中无需取得“Draw on top”权限。

攻击者只需欺骗用户在手机上安装恶意应用,之后请求获得管理员权限访问“辅助功能”,用自定义Toast信息覆盖确认按钮或其它描述文本。

用户的界面不会显示“激活”按钮,攻击者可使用Toast信息使“激活”按钮显示成“继续”。

安卓设备现新型Toast覆盖攻击滥用合法权限接管设备-E安全

此外,研究人员表示,攻击者可以让Toast信息循环显示,必要时覆盖合法内容。

Palo Alto Network网络安全与威胁情报资深经理克里斯多夫·巴德表示,Toast攻击的利用步骤不多,还能被非Google Play的应用程序利用,这样一来,利用该漏洞实施攻击的可行性显而易见。

通过设备管理员实施攻击

借助Toast覆盖攻击,安装的恶意应用程序可以诱骗用户交出设备管理员权限,从而发起破坏性攻击,包括:

  • 锁屏

  • 重设PIN码

  • 清除设备数据

  • 防止用户卸载应用

受影响的系统版本

Palo Alto表示,除了最新版本(Android 8.0 Oreo)均易遭受Toast覆盖攻击。

安卓设备现新型Toast覆盖攻击滥用合法权限接管设备-E安全

研究人员5月底向谷歌报告了该漏洞,谷歌给出的回应是要求使用Toast信息的应用程序请求“Draw on top”权限。

这个漏洞编号为CVE-2017-0752,谷歌周二通过2017年9月安卓安全公告发布了补丁。安装了最新安全补丁的安卓OS版本不会遭遇Toast覆盖攻击。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。