حملات Cloak and Daggar به میلیون ها گوشی اندرویدی

پژوهشگران امنیتی موفق به کشف مجموعه‌ای از آسیب‌پذیری‌های اندروید شده‌اند که به هکرها اجازه می‌دهد کنترل کامل ابزارهای اندرویدی را حتی در صورت قفل بودن یا خاموش بودن، به دست بگیرند. این حمله Cloak and Dagger نامگذاری شده است.

گویا آی تی – هکرها تصاویر و اجازه‌ی دسترسی‌هایی که با فشردن گزینه‌ی OK توسط کاربران مورد قبول واقع می‌شود را پنهان می‌کنند؛ کاربر تصور می‌کند که تنها اجازه‌ی یک کار را صادر کرده اما با فشردن OK عملا اختیار انجام سایر فعالیت‌ها را هم در اختیار هکرها قرار داده است. پژوهشگران امنیتی برای نشان دادن نحوه‌ی عملکرد این حمله، تصویر ساختگی زیر را طراحی کرده‌اند:
همان طور که مشاهده می‌کنید یک جعبه‌ی پیام اجازه‌ی مخفی در پشت پیامی که در بالا قرار گرفته قرار دارد. هر چند در حمله اصلی به جای پیام اصلی، تنها پیام جعلی به کاربر نشان داده می‌شود.

پژوهشگران آسیب‌پذیری‌های اندروید را به این شکل توضیح می‌دهند:
«این حملات به یک اپلیکیشن مخرب اجازه می‌دهند که کنترل چرخه‌ی بازخورد رابط کاربری را به طور کامل در دست گرفته و بدون اطلاع کاربر از فعالیت‌های مخرب روی ابزار، کنترل کامل آن را در دست بگیرند. در صورتی که این اپلیکیشن از فروشگاه پلی‌ استور گوگل نصب شود این حملات تنها نیازمند دو مجوز هستند و البته نیازی نیست که کاربر صریحا این اجازه‌نامه را صادر کرده و جالب اینجاست که سیستم هیچ گونه هشداری در این مورد هم به وی نشان نمی‌دهد. مطالعات ما نشان می‌دهد که این حملات کاملا کاربردی هستند. این حملات روی تمام نسخه‌های اخیر اندروید (از جمله آخرین نگارش یعنی اندروید ۷٫۱٫۲) جواب داده و هنوز راه‌حلی برای مقابله با آنها ارائه نشده است.»
پژوهشگران امنیتی دانشگاه سانتاباربارا و جرجیاتک یافته‌های خود در این مورد را در اختیار گوگل گذاشته‌اند. گوگل بعد از اطلاع از وجود این آسیب‌پذیری‌ها به وب‌سایت Engadget اعلام کرده که برای محافظت از کاربران اقدام به انتشار یک بسته‌‌ی به‌روزرسانی برای Google Play Protect کرده است.

ظاهرا Cloak and Dagger از ضعف‌های اندروید بهره گرفته و تنها نیازمند دو مجوز برای در دست گرفتن کنترل ابزار کاربر است یعنی System Alert Window و Bind Accessibility Service.
اظهار نظر کامل گوگل در این مورد:
«ما ارتباط بسیار نزدیکی با پژوهشگران داشتیم و مثل همیشه از تلاش‌های آنها برای ارتقای امنیت کاربران‌مان، تشکر می‌کنیم. ما Google Play Product (خدمات امنیتی ابزارهای اندرویدی که از Google Play استفاده می‌کنند) را به‌روز کردیم تا امکان شناسایی این اپلیکیشن‌ها و جلوگیری از عدم نصب آنها فراهم شود. ما قبل از این گزارش راهکارهای حفاظتی جدیدی در Android O ایجاد کرده بودیم که سدهای امنیتی بسیار مناسبی در برابر این آسیب‌پذیری هستند.»
جالب اینجاست که پژوهشگران معتقدند به‌روز رسانی امنیتی که گوگل عرضه کرده، راه‌حلی دائمی برای مرتفع کردن این آسیب‌پذیری‌ها نیست. تیم پژوهشگران می‌گوید که بسته‌ی به‌روز رسانی گوگل برای Play Protect تنها یک راهکار ناقص بوده و محدود به نگارش ۷٫۱٫۲ اندروید است.

اظهارات پژوهشگران امنیتی:
«گوگل تنها یک راهکار ناقص که فقط روی اندروید ۷٫۱٫۲ جوابگوست ارائه کرده: پیام‌هایی که در بالای سایر پنجره‌ها قرار می‌گیرند، در زمان ظاهر شدن لیست مجوزهای یک اپلیکیشن دیگر نشان داده نمی‌شوند. هر چند این امر تنها در مورد مجوزهای ”عادی“ صدق می‌کند و نه برای مجوزهای ”ویژه“ مثل draw on top و a11y. این مساله مشکل‌ساز است: از آن جایی ”دزدی کلیک روی a11y“ همچنان امکان‌پذیر است، یک اپلیکیشن مخرب قادر به استفاده از ”حمله‌ی باز کردن قفل (با خاموش نگه داشتن صفحه‌ نمایش)“ برای فعال‌سازی این مجوزهاست و به این ترتیب امکان نصب خاموش اپلیکیشن‌های مخربی که مجوز دسترسی و تغییر جای‌جای سیستم‌عامل را دارند، فراهم می‌شود.
پژوهشگران می‌گویند که جدیدترین به‌روز رسانی برای Android O قادر به دفع حملات Cloak and Dagger است. تا آن زمان بهتر است کاربران اندروید از دانلود و نصب اپلیکیشن‌ از منابع ناشناخته خودداری کرده و ضمنا همواره محتویات جعبه پیام مجوزها که روی صفحه نمایش ظاهر می‌شود را به دقت مطالعه کنند. اخیرا شاهد افزایش چشمگیر حملاتی هستیم که برای هک ابزارها انجام می‌شوند. بهتر است برای محافظت از خودتان در برابر هکرها توصیه‌های امنیتی را بیشتر از همیشه جدی بگیرید.