حمله‌ مخفی و شایع Cloak and Dagger به تمام سیستم‌های عامل اندروید

سه‌شنبه 96/3/23، تهران , (اخبار رسمی): به تازگی سیستم عامل اندروید دچار حمله‌ای با نام Cloak and Dagger شده است. جالب توجه است که مجرمان پشت این حمله هیچ تبعیضی بین کاربران اندروید قائل نشده‌اند و این حمله را به گونه‌ای برنامه‌ریزی کرده‌اند که در تمام نسخه‌های اندروید اعمال شود.

از نصب اپلیکیشن‌های ناشناخته و نامتداول از گوگل پلی و دیگر فروشگاه‌ها بپرهیزید. برنامه‌های رسمی و قانونی هرگز مورد حمله Cloak and Dagger قرار نمی‌گیرند.

این حمله تنها با به کارگیری برخی مجوزهای قانونی صادرشده توسط برنامه‌ها که به ‌طور گسترده در برنامه‌های مشهور مورد استفاده قرار می‌گیرند، تلاش می‌کند تا به  تعدادی از ویژگی‌های خاص در دستگاهِ دارای سیستم‌عامل اندروید دسترسی پیدا کند. با استفاده از این اختیارات و مجوزها، مجرمان می‌توانند داده‌هایی همانند پسوردها را سرقت کنند. آن‌ها روی تعاملات و تایپ‌های کاربران اندروید نظارت کامل دارند و به راحتی می‌توانند صفحه کلید آن‌ها را مشاهده کنند. 

حمله Cloak and Dagger توسط کارمندان موسسه فناوری جورجیا و دانشگاه کالیفرنیا Santa Barbara به گوگل گزارش داده شد اما از آنجا که این مشکل ریشه در نحوه طراحی سیستم‌ عامل اندروید دارد که طبق طراحی از پیش‌تعیین‌شده عمل می‌کنند، حل این مشکل بسیار سخت خواهد بود.

 

ماهیت حمله Cloak and Dagger

اگر بخواهیم به طور خلاصه بگوییم این حمله از اپلیکیشن گوگل پلی برای دسیسیه خود استفاده می‌کند. اگرچه اپلیکیشن بدون هیچ مجوزی خاصی از کاربر سوال می‌پرسد اما مجرمان می‌توانند به راحتی به دستگاه آن‌ها نفوذ کنند و در این حین کاربر متوجه کوچک‌ترین اشتباهی نشود.

این حمله از دو مجوز پایه ("SYSTEM_ALERT_WINDOW (“draw on top و  ("BIND_ACCESSIBILITY_SERVICE (“a11y در اندروید استفاده می‌کند.

اما چه مجوزهایی؟

نخستین مجوز که به draw on top معروف است یک ویژگی overlay  قانونی است که به برنامه‌ها اجازه می‌دهد تا روی صفحه‌ نمایش اصلی هم‌پوشانی داشته باشد و بالاتر از برنامه‌های دیگر قرار گیرد. اما مجوز دوم به a11y مشهور است و سیاست آن به گونه‌ای است که برای کاربران معلوم، کور و دارای مشکل بینایی طراحی شده است و به آن‌ها اجازه می‌دهد تا اطلاعات درخواستی را به‌صورت فرمان‌های صوتی وارد کنند یا این‌که به محتواهای موردنظر از طریق ویژگی صفحه خواننده، گوش دهند. اما مورد خطرناک‌تری که در این حمله وجود دارد این است که مجرمان می‌توانند این حمله را روی هر سیستم عامل اندرویدی اجرا کنند.

به دلیل این‌که این حمله به هیچ کد مخربی نیاز ندارد و یک حمله نسبتا بی‌دردسر است، برای مجرمان ساده‌تر است که برنامه‌های مخرب خود را ایجاد کنند و بدون این‌که دیده شوند در گوگل پلی قرار بدهند. با توجه به پیشینه گوگل پلی متوجه شده‌اید که این فروشگاه‌ نمی‌تواند از تمام بدافزارها مصون بماند.

مجرمان می‌توانند در حمله خود فعالیت‌های مخربی را که در ادامه به آن‌ها اشاره شده است انجام دهند:

. حمله پیشرفته clickjacking
. ضبط‌کردن کلیدهای فشرده‌شده توسط کاربر به‌طور نامحدود
. حملات فیشینگ مخفیانه
. نصب‌کردن مخفیانه برنامه God-mode که تمام مجوزها در آن فعال است.
. بازکردن مخفیانه قفل گوشی و فعالیت‌های دلخواه در هنگامی ‌که حتی صفحه گوشی خاموش است.

به طور خلاصه مجرمان با این حمله می‌توانند دسترسی کامل دستگاه شما را به دست بگیرند و بر تمام فعالیت‌های شما نظارت داشته باشند.

 

لایه نامرئی

عمدتا مجرمان از SYSTEM_ALERT_WINDOW برای حملات خود استفاده می‌کنند. به عنوان مثال می‌توانند یک لایه نامرئی مجازی روی کیبورد کاربر اندروید در نظر بگیرد و در زمانی که کاربر در حال تایپ‌کردن یا تاچ‌کردن رمز عبور خود است آن را ضبط و از آن سوء استفاده کند. برنامه‌ مخربی که کلیدهای فشرده‌‌شده روی صفحه کلید را ذخیره می‌کنند و اطلاعات تایپ‌شده کاربران از قبیل رمزهای عبور آن‌ها را سرقت می‌کند، کی لاگر نامیده می‌شود.

 

فیشینگ نهایی

دسترسی به SYSTEM_ALERT_WINDOW و ACCESSIBILITY_SERVICE به مجرمان اجازه می‌دهد که حملات فیشینگ خود را بدون این‌که کاربر متوجه کوچک‌ترین بدگمانی شود، پیاده‌سازی کنند.

به عنوان مثال زمانی که کاربر فیس بوک خود را باز و تلاش می‌کند نام کاربری و رمز عبور خود را وارد کند با مجوز دسترسی یکی از برنامه‌ها می‌تواند بر تمام رفتار کاربر و رویدادهایش مشرف باشد. سپس با استفاده از SYSTEM_ALERT_WINDOW و توانایی پوشش برنامه‌های دیگر، می‌تواند صفحه ی فیشینگ کاربر را که به عنوان مثال در حال وارد کردن رمز عبور است نشان دهد.

مجرمان در این مورد به راحتی می‌توانند به رمز عبور و نام کاربری قربانی دسترسی یابند. اما همه چیز به صفحه فیس بوک خلاصه نمی‌شود و آن‌ها همین راه را برای صفحه‌های بانکی در نظر می‌گیرند و به حساب بانکی کاربر رخنه می‌کنند. این ویژگی که به یک برنامه مخرب اجازه می‌دهد تا صفحه‌ نمایش دستگاه را hijack کند، یکی از روش‌هایی است که توسط مجرمان سایبری و مهاجمان بسیار مورد بهره‌برداری قرار گرفته است تا کاربران بی‌خبر اندروید را فریب دهد و در دام بدافزارها و کلاه‌برداری‌های فیشینگ اندازد.

با وجود نقصی که در سیستم عامل اندروید وجود دارد گوگل در نظر دارد تا سیاست خود را در Android O تغییر دهد و زمان رونمایی از آن را در سه‌ماه سوم سال جاری قرار داده است.

چگونه می‌توانیم دستگاه خود را در برابر Cloak and Dagger حفظ کنیم؟

محققان این حمله را روی سه نسخه از اندروید آزمایش کردند؛ اندروید 5، اندروید 6 و اندروید 7 که این سه نسخه 70% از دستگاه های اندروید را شامل می‌شوند. این‌طور که به نظر می‌رسد تمام نسخه‌های این سیستم عامل در معرض خطر هستند و احتمال خطر برای نسخه‌های قدیمی‌تر هم وجود دارد. در ادامه راه‌کارهایی را متذکر می شویم که می‌تواند به محافظت شما در برابر حملات اندرویدی کمک زیادی کند.

1. از نصب اپلیکیشن‌های ناشناخته و نامتداول از گوگل پلی و دیگر فروشگاه‌ها بپرهیزید. برنامه‌های رسمی و قانونی هرگز مورد حمله Cloak and Dagger قرار نمی‌گیرند.

2. به طور منظم مجوز برنامه‌های مختلف را روی دستگاه خود بررسی کنید و برنامه‌هایی را که به آن ها نیاز چندانی ندارید و ضروری نیستند حذف کنید. 

3. اما در آخر هرگز نصب راهکار امنیتی برای دستگاه خود را فراموش نکنید. اگر که تا به حال هیچ راهکار امنیتی برای دستگاه خود در نظر نگرفته‌اید می‌توانید از نسخه رایگان اینترنت سکیوریتی کسپرسکی برای اندروید شروع کنید، مطمئنا آغازی ادامه دار خواهد بود!

### پایان خبر رسمی