به تازگی سیستم عامل اندروید دچار حمله ای با نام Cloak and Dagger شده است. جالب توجه است که مجرمان پشت این حمله هیچ تبعیضی بین کاربران اندروید قائل نشدند و این حمله را به گونه ای در نظر گرفته اند که بر تمامی نسخه های اندروید اعمال شود. دانستنی است که این حمله از هیچ آسیب پذیری در سیستم عامل اندروید استفاده نکرده است و تنها با به کارگیری یک سری مجوزهای قانونی صادرشده توسط برنامهها که به طور گسترده در برنامههای مشهور مورد استفاده قرار میگیرند، سوءاستفاده میکند تا به یک سری از ویژگیهای خاص در دستگاهِ دارای سیستمعامل اندروید دسترسی پیدا کند. با استفاده از این اختیارات و مجوزها، مجرمان می توانند داده هایی همانند پسوردها را به سرقت ببرند. آن ها بر روی تعاملات و تایپ های کاربران اندروید نظارت کامل دارند و به راحتی می توانند صفحه کلید آن ها را مشاهده کنند. باز هم تکرار می کنیم، در این حمله هیچ تفاوتی بین کاربران اندروید وجود ندارد.
این حمله که Cloak and Dagger, نام گرفت توسط کارمندان موسسه فناوری جورجیا و دانشگاه کالیفرنیا Santa Barbara به گوگل گزارش داده شد اما ازآنجاییکه این مشکل ریشه در نحوه طراحی سیستمعامل اندروید دارد، که شامل دو ویژگی استاندارد میشود که طبق طراحی از پیش تعیینشده عمل میکنند، حل شدن این مشکل بسیار سخت خواهد بود.
ماهیت حمله ی Cloak and Dagger
اگر بخواهیم به طور خلاصه بگوییم این حمله از اپلیکیشن گوگل پلی برای دسیسیه خود استفاده می کند. اگرچه اپلیکیشن بدون هیچ مجوزی خاصی از کاربر سوال می پرسد اما مجرمان می توانند به راحتی به دستگاه آن ها نفوذ کنند و در این حین کاربر متوجه کوچکترین اشتباهی نشود.
این حمله از دو مجوز پایه؛
1. SYSTEM_ALERT_WINDOW (“draw on top”)
2. BIND_ACCESSIBILITY_SERVICE (“a11y”)
در اندروید استفاده میکند.
اما چه مجوزهایی؟ اولین مجوز که به draw on top معروف است یک ویژگی overlay قانونی است که به برنامهها اجازه میدهد تا بر روی صفحه نمایش اصلی همپوشانی داشته و بالاتر از برنامههای دیگر قرار گیرد. اما مجوز دوم به a11y مشهور است و سیاست آن به گونه ای است که برای کاربران معلوم، کور و دارای مشکل بینایی طراحی شده است و به آنها اجازه میدهد تا اطلاعات درخواستی را بهصورت فرمانهای صوتی وارد کنند یا اینکه به محتواهای موردنظر از طریق ویژگی صفحه خواننده، گوش دهند. اما مورد خطرناک تری که در این حمله وجود دارد این است که مجرمان می توانند این حمله را بر روی هر سیستم عامل اندرویدی اجرا کنند.
به دلیل اینکه این حمله به هیچ کد مخربی نیاز ندارد و یک حمله ی به نسبت بی دردسر است، برای مجرمان ساده تر است که برنامه های مخرب خود را ایجاد کنند و بدون اینکه روئیت شوند در گوگل پلی قرار بدهند. با توجه به پیشینه ی گوگل پلی تا الان متوجه شده اید که این فروشگاه ها نمی تواند از تمامی بدافزارها مصون بماند و آن جا را برای همیشه ترک نمی کنند.
مجرمان می توانند در حمله ی خود فعالیت های مخربی را که در ادامه به آن ها اشاره شده است را انجام دهند:
• حمله پیشرفته clickjacking
• ضبط کردن کلیدهای فشردهشده توسط کاربر بهطور نامحدود
• حملات فیشینگ مخفیانه
• نصب کردن مخفیانه برنامه God-mode که تمامی مجوزها در آن فعال است.
• باز کردن مخفیانه قفل گوشی و فعالیتهای دلخواه در هنگامی که حتی صفحه گوشی خاموش است.
در یک جمله بخواهیم بگوییم مجرمان با این حمله ی خود می توانند دسترسی کامل دستگاه شما را به دست بگیرند و بر تمام فعالیت های شما نظارت داشته باشند.
لایه نامرئی
عمدتا مجرمان از SYSTEM_ALERT_WINDOW برای حملات خود استفاده می کنند. به عنوان مثال مجرمان می توانند یک لایه نامرئی مجازی روی کیبرد کاربر اندروید در نظر بگیرد و در زمانی که کاربر در حال تایپ کردن یا تاچ کردن رمز عبور خود است آن را ضبط و از آن سوء استفاده کند. برنامه های مخربی که کلیدهای فشرده شده بر روی صفحه کلید را ذخیره میکنند به صورتی که میتوان از آن، اطلاعات تایپ شده ی کاربران از قبیل رمزهای عبور آنها را سرقت کرد، کی لاگر نامیده می شود.
فیشینگ نهایی
دسترسی به SYSTEM_ALERT_WINDOW و ACCESSIBILITY_SERVICE به مجرمان اجازه می دهد که حملات فیشینگ خود را بدون اینکه کاربر متوجه کوچکترین بدگمانی شود، پیاده سازی کنند.
به عنوان مثال زمانی که کاربر فیس بوک خود را باز می کند و تلاش می کند که نام کاربری و رمز عبور خود را وارد کند، مجوز دسترسی یکی از برنامه ها می توان بر تمام رفتار کاربر و رویدادهایش مشرف باشد. سپس با استفاده از SYSTEM_ALERT_WINDOW و توانایی پوشش برنامه های دیگر، برنامه می تواند صفحه ی فیشینگ کاربر را که به عنوان مثال در حال وارد کردن رمز عبور است را نشان دهد.
مجرمان در این مورد به راحتی می توانند به رمز عبور و نام کاربری قربانی دسترسی یابند. اما همه چیز به صفحه ی فیس بوک خلاصه نمی شود و آن ها همین راه را برای صفحه های بانکی در نظر می گیرند و به حساب بانکی کاربر رخنه می کنند. این ویژگی که به یک برنامه مخرب اجازه میدهد تا صفحه نمایش دستگاه را hijack کند، یکی از روشهایی است که توسط مجرمان سایبری و مهاجمان بسیار مورد بهرهبرداری قرار گرفته است تا کاربران اندروید بیخبر را گول زده و آنها را در دام بدافزارها و کلاهبرداریهای فیشینگ اندازد.
با وجود نقصی که در سیستم عامل اندروید وجود دارد گوگل در نظر دارد تا سیاست خود را در Android O تغییر دهد و زمان رونمایی از آن را در سهماهه سوم سال جاری قرار داده است.
چگونه می توانیم دستگاه خود را در برابر Cloak and Dagger حفظ کنیم؟
محققان این حمله را بر روی سه نسخه از اندروید آزمایش کردند: اندروید 5، اندروید 6 و اندروید 7 که این سه نسخه 70% از دستگاه های اندروید را شامل می شوند. اینطور که بنظر می رسد تمام نسخه های این سیستم عامل در معرض خطر هستند و احتمال خطر برای نسخه های قدیمی تر هم وجود دارد. شاید با وجود تمام گفته ها اگر که سیستم عامل دستگاه شما اندروید است نگران شوید و به فکر راهکاری برای مقابله با این حمله بیوفتید. در ادامه راهکارهایی را متذکر می شویم که می تواند به محافظت شما در برابر حملات اندرویدی کمک بسزای کند:
1 - از نصب اپلیکیشن های ناشناخته و نامتداول از گوگل پلی و دیگر فروشگاه ها بپرهیزید. برنامه های رسمی و قانونی هرگز مورد استفاده ی حمله ی Cloak and Dagger. قرار نمی گیرند.
2 - به طور منظم مجوز برنامه های مختلف را بر روی دستگاه خود بررسی کنید و برنامه هایی که به آن ها نیاز چندانی ندارید و ضروری نیستند را حذف کنید.
3 - اما در آخر هرگز نصب راهکار امنیتی برای دستگاه خود را فراموش نکنید. اگر که تا به حال هیچ راهکار امنیتی برای دستگاه خود در نظر نگرفته اید می توانید از نسخه ی رایگان اینترنت سکیوریتی کسپرسکی برای اندروید شروع کنید، مطمئنا آغازی ادامه دار خواهد بود!