Luka StrandHogg w Androidzie - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Aktualności (https://safegroup.pl/forum-28.html) +--- Wątek: Luka StrandHogg w Androidzie (/thread-12023.html) |
Luka StrandHogg w Androidzie - bluszcz - 06.12.2019 Cytat:Luka w Androidzie pozwala atakującym tworzyć fałszywe ekrany, które podmieniają ekran logowania aplikacji. Użytkownik jest więc przekonany, że korzysta z zaufanego programu, tymczasem wszystkie jego dane mogą zostać przechwycone. [Aby zobaczyć linki, zarejestruj się tutaj] Cytat:The vulnerability allows malicious apps to masquerade as legitimate apps that targets have already installed and come to trust, researchers from security firm Promon reported in a post. Running under the guise of trusted apps already installed, the malicious apps can then request permissions to carry out sensitive tasks, such as recording audio or video, taking photos, reading text messages or phishing login credentials. Targets who click yes to the request are then compromised. [Aby zobaczyć linki, zarejestruj się tutaj] RE: Luka StrandHogg w Androidzie - wredniak - 10.12.2019 Z powyższego artykułu nie do końca rozumiem na czym owa "luka" miałaby polegać. Jak rozumiem klient ma aplikację bankową, instaluje np: grę ze sklepu GP, która okazuje się być trojanem. Program wykrywa, że klient ma aplikację bankową i jak rozumiem podmienia skrót z pulpitu do siebie samego, tak, że gdy klient będzie chciał odpalić apkę bankową to otworzy się trojan i wyświetli podmienioną stronę bankową, co ewentualnie pozwoli na ukradzenie danych logowania czy pieniędzy. Jeżeli to tak działa, to ciężko to nazwać luką - raczej błędem/nieporozumieniem leżącym u samych fundamentów androida jako systemu operacyjnego. Wiele aplikacji korzysta z możliwości sprawdzenia jakie klient ma zainstalowane aplikacje, często dla czysto komercyjnych - wyświetlanie spersonalizowanych reklam. A bombardowanie klienta reklamami na każdym kroku jest jednym z celów jakie obrało Google. Twórcy aplikacji dostają kompletne API do tego aby bombardować użytkowników reklamami i filmikami promocyjnymi a klientowi końcowemu udaremnia się na każdy możliwy sposób ingerencję w ten mechanizm. Zresztą cały android jest tak skonstruowany - klient ma korzystać z zasobów systemu tak jak tego chce Google i twórcy apek. A to że ktoś zmyślny zauważył w tym potencjał dla siebie? Ot, życie. RE: Luka StrandHogg w Androidzie - bluszcz - 10.12.2019 W chip.pl opis jest dosyć słaby, ale to polskie forum, więc chciałem dać coś po polsku. Nie wiem czy to bardziej luka w implementacji czy zła decyzja została podjęta na poziomie architektury, ale ewidentnie jest to coś do poprawienia przez Google. (10.12.2019, 12:38)wredniak napisał(a):Nie podmienia skrótu do siebie samego. W systemie jest dodawany task, który pochodzi ze złośliwej aplikacji, ale jest uruchamiany w kontekście aplikacji, w którą celowany jest atak. Możesz kliknąć w launcherze na prawdziwą, autentyczną ikonkę zaufanej aplikacji, a i tak pojawi się ekran ze złośliwej aplikacji. Na ArsTechnica wyjaśniają to tak (link podałem już wcześniej): Cytat:An affinity for multitasking a TrendMicro tak: Cytat:Explaining the StrandHogg exploit [Aby zobaczyć linki, zarejestruj się tutaj] Teraz znalazłem taki temat na Twitterze: [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Ale jeszcze nie przeczytałem artykułu z konferencji. RE: Luka StrandHogg w Androidzie - wredniak - 10.12.2019 (10.12.2019, 13:37)bluszcz napisał(a):Dzięki, teraz zrozumiałem. Podejrzewam jednak, że ta funkcjonalność była przemyślana pod kątem innych zastosowań. Niestety licho nie śpi i wcześniej czy później takie rewelacje wychodzą na światło dzienne. Generalnie jako klient urządzenia z androidem czuję się tak jakbym wypożyczał to urządzenie, a nie był jego właścicielem. Myślę, że łatka na opisywany problem może uderzyć rykoszetem w istniejące już rozwiązania, o których szary użytkownik nawet nie zdaje sobie sprawy. |