Cloak ; Dagger攻击:一种可针对所有版本Android的攻击技术(含演示视频)

近期,来自美国佐治亚理工学院的安全研究专家发现了一种名叫“Cloak and Dagger”的新型攻击,而可怕的地方就在于,这种攻击技术可以拿下目前所有版本的Android操作系统(最高到v7.1.2)。

“Cloak and Dagger”攻击允许黑客悄悄获取到目标Android设备的完整控制权,这也就意味着攻击者将能够窃取到用户包括键盘记录、聊天数据、设备PIN码、在线账号密码、OTP密码和通讯录在内的多种隐私数据。

“Cloak and Dagger”攻击的特点

这种攻击技术并不需要利用Android生态系统中的任何安全漏洞,相反,它利用的是Android设备中合法App的权限,而这些权限都是目前热门App用来访问Android设备特定功能时所必须的权限。

需要注意的是,研究专家利于这种攻击技术对另外20名用户的Android手机进行了攻击,而没有一个人能够检测到自己手机中任何的恶意活动。

“Cloak and Dagger”攻击利用了两大Android基础权限:

1.    SYSTEM_ALERT_WINDOW ("draw on top")
2.    BIND_ACCESSIBILITY_SERVICE ("a11y")

第一个权限名叫“draw on top”,这个权限将允许App在设备屏幕上显示额外的叠加窗口来覆盖其他的App界面。

第二个权限为“a11y”,这个权限旨在帮助包括盲人和视力障碍用户在内的残疾人用户更好地通过语音命令来输入信息或通过屏幕阅读功能来了解屏幕内容。

攻击者能做什么?(含Demo)

由于这种攻击技术完全不需要任何的恶意代码或木马程序,因此这也很大程度上简化了黑客开发恶意App的过程,而且他们还可以直接将恶意App上传至Google Play应用商店,并且完全不用担心自己的App被标记为可疑应用。除此之外,就Google目前的安全保护机制来看,他们也没有办法完全阻止恶意应用出现在自己的App应用商店之中,这一点是无可争议的事实。

如果你经常关注信息安全类新闻的话,你肯定看到过类似“针对Google Play用户的恶意软件已成功感染了应用商店内的数百款App”以及“Google Play应用商店惊现勒索软件App”之类的标题出现在新闻网站的头版头条吧?而就在上个月,研究人员在GooglePlay应用商店中发现了多款伪装成“搞笑视频”App的恶意Android应用,当时的下载量已经超过了5000次。当用户下载并安装了这些App之后,他们的设备便会感染“BankBot”银行木马,一旦感染成功,攻击者将能够窃取到目标用户的银行密码。

研究人员在接受采访时解释了他们如何在Google Play应用商店中实现Cloak& Dagger攻击:

“我们提交了一款需要申请上述这两种权限的App,App中包含一个下载并执行任意代码的函数(没有经过代码混淆),这个函数会尝试模拟一次非常明显的恶意行为,但这个App在几个小时之后便审批通过,而且这个App目前仍然可以在GooglePlay应用商店中找到。”

当用户安装了恶意App之后,攻击者将能够执行下列恶意活动:

-高级点击劫持攻击; -不受限制的键盘记录; -隐蔽性极高的钓鱼攻击; -静默安装一款上帝模式App(开启所有权限); -悄悄解锁手机并执行任意活动(整个过程中屏幕保持黑屏状态);

简而言之,Cloak & Dagger攻击将允许攻击者悄悄拿到Android设备的完整控制权,并监控你在自己手机上的一举一动。

研究人员还提供了一系列Cloak & Dagger攻击的演示视频。相信我,这些视频绝对会让你大开眼界!

Cloak & Dagger: Invisible Grid Attack

Cloak & Dagger: Clickjacking+ Silent God-mode App Install

Cloak & Dagger:Stealthy Phishing Attack

Google无法解决这个问题,至少现在不行…

研究人员目前已经将这种新型的攻击向量上报给了Google,但因为这个问题是由Android操作系统的底层设计缺陷所导致的(涉及到两个标准功能,但这两个功能的行为符合系统预期),所以这个问题目前还无法被修复。

该团队其中的一名研究人员Yanick Fratantonio表示:“更改一个功能与修复一个漏洞有很大的区别,系统的设计者不用过多的去考虑那些看似无关的功能之间应该如何交互,而各种功能也不会在设备上单独运行。”

正如研究人员之前在报告中所提到的,自从2015年10月份发布的Android Marshmallow(Version6)开始,Google默认会给那些直接从GooglePlay应用商店下载并安装的App提供"SYSTEM_ALERT_WINDOW "("draw on top ")权限。这个功能将允许恶意App劫持设备的屏幕,而这也是网络犯罪分子进行勒索软件攻击和钓鱼诈骗时常用的手段。

不过,Google计划在“Androd O”上修改其原有策略,该系统计划在今年第三季度发布。所以用户可能还需要等待很长一段时间,因为目前仍然有上百万用户在等待他们的设备生产商推送Android Nougat(N)的更新。换句话来说,绝大多数的Android用户至少在接下来的一年时间里仍然有可能受到勒索软件和银行木马等恶意软件的侵扰。

临时处理方案

在Android 7.1.2上,防止Cloak& Dagger攻击最简单的方法就是关闭“draw on top”权限:Settings→Apps →Gear symbol →Special access →Draw over other apps

还是那句话,防止感染恶意软件的通用方法就是只从Google Play应用商店下载App,但只能信任那些经过验证的开发人员所提交的App。除此之外,在安装App之前一定要检查App的权限,如果App要求的权限超过了它原本的功能,请你千万不要安装它。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-06-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏养码场

一周播报|明明BUG这么多,死也不给看代码?这位程序员你咋这么矫情......

Q:有两张表(一个库),一个是用户表、一个是会员表,一个会员记录对应多条用户记录,有一个事务过程如下:每更新用户表中一条记录,更新(update)对应会员表中的...

902
来自专栏java一日一条

百度全面开放HTTPS的几个重要问题

百度从 14 年开始对外开放了 https 的访问,并于 3 月初正式对全网用户进行了 https 跳转。

1352
来自专栏IT大咖说

中国首位IoT领域的GDE:Android Things全解析及展望

2252
来自专栏FreeBuf

钓鱼攻防对抗战的今日现状:防守方完全落后挨打

网络钓鱼主要用来骗取个人敏感信息,从而用于一些恶意目的。今天主要谈钓鱼用来做金融欺诈和身份盗窃的行为,包括对网银、购物等欺诈行为。随着上网人群的增多,钓鱼潜在...

2345
来自专栏JAVA高级架构开发

代码规范固然重要,但是不要再黑程序员了...

第一次看到一侧关于程序猿代码没有规范而被枪杀的文章,开始有朋友在群里吐槽几个平时代码比较“诗意”的同事,大家也就一笑而过了。

670
来自专栏黑白安全

这些操作系统,专业黑客都喜欢用,你不来试试?

专业的黑客(Hacker)都在什么操作环境下工作?这是一个很多人都感兴趣的问题。今天,我就来梳理一下,那些专业黑客们所喜欢使用的操作系统。

1311
来自专栏FreeBuf

Google Play Store启动漏洞赏金计划保护Android应用

? Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。 这个项目的名称为 “Go...

2775
来自专栏大数据文摘

如何用Python批量发现互联网“开放”摄像头

8244
来自专栏即时通讯技术

解密“达达-京东到家”的订单即时派发技术原理和实践

达达-京东到家作为优秀的即时配送物流平台,实现了多渠道的订单配送,包括外卖平台的餐饮订单、新零售的生鲜订单、知名商户的优质订单等。为了提升平台的用户粘性,我们需...

2111
来自专栏Eugene's Blog

DDoS防御的8种方针详解分类目录文章标签友情链接联系我们

1073

扫码关注云+社区

领取腾讯云代金券