找回密碼
 註冊
查看: 7198|回覆: 26

"披風同匕首" 攻擊左安卓幾個月被佢吹漲. [轉載, 英文]

  [複製鏈接]
簽到
3092
發表於 2017-7-31 03:51:41 | 顯示全部樓層 |閱讀模式
本帖最後由 jgyjgw 於 2017-7-31 04:03 編輯

THE 'CLOAK & DAGGER' ATTACK THAT BEDEVILED ANDROID FOR MONTHS
[轉載, 英文, 又系要等待板主大人翻譯吧!]
"披風同匕首" 攻擊左安卓幾個月吹到漲晒.
LILY HAY NEWMAN, SECURITY, 07.27.1708:15 PM – Wired
https://www.wired.com/story/cloak-and-dagger-android-malware/

USUALLY VULNERABILITIES IN software (即:漏洞) are accidents or mistakes—flaws that shouldn’t be there. But they can also stem from unintended consequences of features working the way they’re supposed to. Those problems prove difficult to resolve, especially if the potentially impacted feature has an important, legitimate use. That's what happened with Cloak & Dagger, an attack that manipulates attributes of the operating system’s visual design and user interface to hide malicious activity.
Researchers at the Georgia Institute of Technology and University of California, Santa Barbara first detailed the vulnerabilities in May (即:2017年5月), and have worked with Google since to address them. But while Google has addressed many of the bugs in its upcoming Android O release, the methods persist on current versions of Android, potentially exposing virtually all Android users to an insidious attack.
“User interface bugs are out there and they can be exploited and it’s quite easy to implement them," says Yanick Fratantonio, a mobile security researcher who works on the project and helped present the latest Cloak & Dagger updates at the Black Hat security conference Thursday (即:這月在拉斯維加斯黑客/黑帽安全會議). "The attacks are a very big deal, but they’re difficult to fix. You can’t just change [the vulnerable features] because you have backward compatibility problems.”
In addition to the protections baked into Android O, a Google spokesperson said in a statement that, “We've been in close touch with the researchers and, as always, we appreciate their efforts to help keep our users safer. We have updated Google Play Protect—our security services on all Android devices with Google Play—to detect and prevent the installation of these apps."
The main Cloak & Dagger attacks affect all recent versions of Android, up to the current 7.1.2. They take advantage of two Android permissions: one, known as SYSTEM_ALERT_WINDOW,which allows apps to display overlay screens for things like notifications, and one called BIND_ACCESSIBILITY_SERVICE, a permission for accessibility services that allows tracking and querying of visual elements displayed on the phone. These permissions can be abused individually, or in tandem.
When you download apps from Google Play that request the System Alert overlay permission, Android grants it automatically, no user approval required. That means malicious apps that ask for that permission can hide ill-intentioned activity behind innocuous-looking screens. For example, the app can request a permission that the user must approve, but cover that request notification with another screen that asks for something innocent, leaving a hole in the cover screen for the real “Accept” button. This type of bait and switch is a version of an attack known as “click-jacking.”
In the case of Cloak & Dagger, the permission the researchers tricked test subjects into accepting is called the Bind Accessibility Service. When users grant this permission, apps gain the ability to track objects across the screen, interact with them, and even manipulate them. Normally, these capabilities are reserved for services that address disabilities like physical and visual impairments. In the hands of a malicious app, they can prove devastating.
Once the attacker has user approval for the accessibility permission, the attacker can abuse it for types of keystroke logging, phishing, and even stealthy installation of other malicious apps for deeper access to the victim system. The accessibility permission also makes it possible for a hacker to simulate user behavior, a powerful capability.
“We let ‘other apps’ or ‘a fake user’ do the bad things for us,” Fratantonio says. “In other words, instead of hacking, for example, the Settings app, we just simulate a user that is clicking around and ‘ask’ the Settings app to do things for us like enable all the permissions.”
The researchers have developed many variations of these attacks, and have found that they can even take over systems with only the first system-alert permission, by manipulating overlays to trigger the download of a second app that can work with the first to infiltrate the system. The variation in approach, and the distributed nature of the attacks, makes them difficult to consistently detect.
Because of Google’s remediation efforts, some versions of the attacks don’t work in all versions of Android anymore, but there are so many variations that there would still be plenty of options for an attacker. And Android’s fragmented version adoption means that for most users, the patchwork of remaining vulnerabilities will likely persist for a long time yet.

有邊個利害香港仔黑客殺手去攪點的個漏洞, 立刻成名, 唔駛怕無人請, 不如自開門戶吧.

登入後,內容更豐富

您需要 登錄 才可以下載或查看,沒有賬號?註冊

×
發表於 2017-7-31 06:27:01 | 顯示全部樓層
要常常 review permissions granted

補充內容 (2017-7-31 17:18):
其實最差係 Google 自己, 明明 set 左5好問 Post 相係某 location.
不知不覺又 reset 再問過
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 06:44:52 | 顯示全部樓層
好多黑客
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 07:23:50 | 顯示全部樓層
多謝師兄分享, 無奈 !
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 07:56:48 | 顯示全部樓層
Security risk
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 08:06:06 | 顯示全部樓層
good info & good to know   
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 08:09:31 | 顯示全部樓層
好多黑客攻擊安卓
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 19:23:57 | 顯示全部樓層
回復 jgyjgw #1 的帖子

軟件中的漏洞 不管是意外或錯誤 - 都是不應該存在的缺陷。 但是,他們也可能源於正常功能的意想不到的後果。 這些問題難以解決,特別是如果潛在的影響到具有重要合法用途的特徵。 這就是Cloak&Dagger用的一個攻擊:它利用 操作系統的視覺設計和用戶界面的屬性 來隱藏惡意活動。
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 19:28:02 | 顯示全部樓層
回復 jgyjgw #1 的帖子

喬治亞理工學院和加州大學聖巴巴拉分校的研究人員首先詳細介紹了五月份的漏洞(即:2017年5月),並與Google合作解決。 但是,儘管Google已經解決了其即將推出的Android O版本中的許多錯誤,但該漏洞仍然存在於當前版本的Android上,可能會將幾乎所有Android用戶暴露在陰險的攻擊之中。
移動安全研究員Yanick Fratantonio說,“用戶界面錯誤在那裡,可以被利用,並且可以很容易地實現它們。”該項目的移動安全研究員Yanick Fratantonio說,他們在黑帽安全會議週四提供了最新的Cloak和Dagger更新 (即:這個月在拉斯維加斯黑客/黑帽安全會議)“這些攻擊是一件很大的事情,但很難解決。 你不能只是改變[漏洞的特徵],因為你有向後兼容性問題。
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 19:32:06 | 顯示全部樓層
回復 jgyjgw #1 的帖子

Google發言人除了對Android O進行保護外,還在一份聲明中表示:“我們一直與研究人員保持密切聯繫,一如以往,我們非常感謝他們為維護用戶更安全的努力。 我們已通過Google Play在所有Android設備上更新Google Play保護 - 我們的安全服務,以檢測並阻止安裝這些應用程序。
'CLOAK & DAGGER'會影響Android的所有最新版本,以致目前的7.1.2。 他們利用兩個Android權限:一個,稱為SYSTEM_ALERT_WINDOW,它允許應用程序顯示覆蓋屏幕,例如通知,還有一個稱為BIND_ACCESSIBILITY_SERVICE,這是允許跟踪和查詢手機上顯示的視覺元素的輔助功能服務的權限。 這些權限可以單獨濫用,也可以一起混用。
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 19:34:30 | 顯示全部樓層
回復 jgyjgw #1 的帖子

當您從Google Play下載請求系統警報重疊權限的應用程式時,Android會自動授權它,無需用戶批准。這意味著要求獲得該權限的惡意應用程序可以在無害環境的屏幕後面隱藏不良意圖的活動。例如,應用程序可以請求用戶必須批准的權限,但是請求另一屏幕請求通知,要求無辜的東西,在封面屏幕上留下一個真正的“接受”按鈕的孔。這種誘餌和開關是一種稱為“點擊頂”的攻擊版本。
在“斗篷與匕首”的情況下,研究人員欺騙測試對象接受的許可稱為綁定輔助功能服務。當用戶授予此權限時,應用程序可以通過屏幕跟踪對象,與其進行交互,甚至操縱它們。通常,這些功能被保留用於解決諸如身體和視覺障礙之類的殘疾的服務。在惡意應用程序的手中,他們可以證明是毀滅性的。
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 19:35:56 | 顯示全部樓層
回復 jgyjgw #1 的帖子

一旦攻擊者獲得了訪問權限的用戶許可,攻擊者就可以將其用於擊鍵記錄,網絡釣魚,甚至隱身安裝其他惡意應用程序,以便更深入地訪問受害者係統。訪問權限還使得黑客可以模擬用戶行為,強大的功能。
“我們讓'其他應用'或'假的用戶'為我們做壞事,”Fratantonio說。 “換句話說,而不是黑客,例如,設置應用程序,我們只是模擬一個用戶點擊,並”詢問“設置應用程序為我們做的事情,如啟用所有的權限。
研究人員已經發現了許多這些攻擊的變化,並且發現他們甚至可以通過僅使用第一個系統警報權限來接管系統,通過操縱覆蓋來觸發第一個可以與第一個滲透系統一起工作的第二個應用程序的下載。方法的變化和攻擊的分佈性質使其難以一致地檢測。
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 19:40:00 | 顯示全部樓層
本帖最後由 假波男 於 2017-7-31 19:41 編輯

由於谷歌的修復工作,攻擊在一些版本的Android中不起作用,但是ANDROID還有很多版本給攻擊者選擇。
而Android存在的大量分散版本 意味著 剩下的漏洞修補可能會持續很長時間。
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 20:02:56 | 顯示全部樓層
一向都覺得, ANDROID系統CORE是冇問題,
但授權APP開發者權限太多. 而透明度太低,
所以是極容易被別有用心 的開發者 利用.

莫講複雜的APP, 連簡單的手電筒APP都要上網,打電話功能,有冇搞錯 !
而始作俑者,係GOOGLE自己, 你嘗試俾少的權限的SYSTEM APP, 大部份都會傻下傻下.
唔信?  
關左GOOGLE PLAY 碰你個聯絡人 -- 每次用GMAIL, GOOGLE PLAY 就彈出來問你攞權限,可以否決,
之後EMAIL仍可以照出,但轉頭第二鑊, 煩到痺
又或者唔俾日曆上網,在某些版本,日曆就CRASH                                      
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 20:08:57 | 顯示全部樓層
資訊科技所帶來的負向影響。
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 21:04:25 | 顯示全部樓層
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 22:02:51 | 顯示全部樓層
No idea, I'm an apple user !
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 22:11:52 | 顯示全部樓層
BB29 發表於 2017-7-31 08:09
好多黑客攻擊安卓

大財路!  而家手機付款咁流行,
HACK中一部刮佢一千, 一億用戶就一千億,
仲唔搏命?
回覆 讚好 不讚 使用道具

舉報

發表於 2017-7-31 22:22:11 | 顯示全部樓層
資訊科技所帶來的負向影響
回覆 讚好 不讚 使用道具

舉報

 樓主| 發表於 2017-7-31 23:22:04 | 顯示全部樓層
馬後砲 發表於 2017-7-31 20:02
一向都覺得, ANDROID系統CORE是冇問題,
但授權APP開發者權限太多. 而透明度太低,
所以是極容易被別有用心  ...

應采用手電筒widget, 唔應該用手電筒APP, 更唔應該無必要,就上網
回覆 讚好 不讚 使用道具

舉報

您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則

Archiver|聯絡我們|141華人社區

GMT+8, 2024-11-27 11:33

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回覆 返回頂部 返回列表