حمله Cloak & Dagger علیه کاربران اندروید

خلاصه: کارشناسان به آسیب‌پذیری بحرانی در سیستم‌عامل اندروید پی برده‌اند که می‌تواند کنترل کامل دستگاه را به دست هکر بسپارد. این آسیب‌پذیری‌ها که روی دو اجازه دسترسی برنامه‌های اندروید قرار دارد که اجازه دسترسی به امکاناتی را برای برنامه‌ها فراهم می‌کند. این آسیب‌پذیری که روی همه نسخه‌های اندروید وجود دارد دسترسی کامل به همه فایل‌ها و اطلاعات کاربر را فراهم می‌کند.

محققان دانشگاه صنعتی جورجیا پرده از حمله‌ای برداشته‌اند که روی همه نسخه‌های اندروید تا نسخه ۷.۱.۲ کار می‌کند. این حمله که Cloak & Dagger نام دارد به هکر‌ها اجازه می‌دهد که به صورت مخفیانه کنترل کامل دستگاه قربانی را به دست بگیرند و امکان سرقت اطلاعات خصوصی شامل اطلاعات وارد شده از طریق صفحه کلید، چت‌ها، رمز‌های پین دستگاه، کلمات عبور حساب‌های آنلاین و مخاطبان را می‌دهد.

محققان این حمله را روی ۲۰ نفر انجام دادند و هیچ کدام از این افراد به اینکه تلفن همراه آن‌ها مورد سوء استفاده قرار گرفته است پی نبرده‌اند.

در این حمله از هیچ کد اکسپلویتی برای استفاده از آسیب‌پذیری به کار گرفته نمی‌شود و به جای آن از دو دسترسی که بسیاری از برنامه‌های معتبر از آن به منظور دسترسی داشتن به امکانات مورد نظر خود استفاده می‌نمایند بهره می‌برد. این دو اجازه دسترسی SYSTEM_ALERT_WINDOW و BIND_ACCESSIBILITY_SERVICE هستند. دسترسی اول که به عنوان نمایش در بالا شناخته می‌شود قابلیتی است که به برنامه‌ها اجازه می‌دهد پیامی را بالای همه برنامه‌ها روی صفحه نمایش دهند. دسترسی دوم که به عنوان ally شناخته می‌شود برای کمک به افراد دارای ناتوانی‌های جسمی ایجاد شده و امکاناتی نظیر استفاده از دستور‌های صوتی و خواندن صفحات ارائه می‌کند.

با توجه به اینکه این حمله نیاز به کد اکسپلویت ندارد کار را برای هکر‌ها بسیار ساده می‌کند تا یک برنامه با قابلیت حمله Cloak & Dagger ایجاد کنند و بدون مشکل آن را روی گوگل پلی قرار دهند.

واقعیتی که در مورد گوگل پلی وجود دارد این است که در واقع نمی‌توان به صورت کامل به آن اعتماد کرد و علی رغم بررسی‌هایی که روی برنامه‌ها انجام می‌دهد، بسیاری از برنامه‌های آلوده و بدافزار‌هایی از قبیل جاسوس‌افزار‌ها، تبلیغ‌افزار‌ها، تروجان‌های بانکی و حتی باج‌افزار‌هایی با استفاده از گوگل‌پلی منتشر شده‌اند. بنابراین با اینکه گوگل‌ پلی را می‌توان امن‌ترین بازار برنامه‌های اندرویدی نامید اما همواره باید مراقب دانلود برنامه‌های متفرقه و سطح دسترسی‌هایی که برنامه‌ها درخواست می‌کنند باشیم.

محققانی که این حمله را کشف کرده‌اند توانسته‌اند بدون مشکل یک برنامه روی گوگل پلی قرار دهند که این حمله را پیاده می‌کند. زمانی که کاربر این برنامه را دانلود می‌کند به مهاجم امکان دسترسی‌های زیر را می‌دهد:

• حمله پیشرفته تعقیب کلیک
• ضبط کردن بدون محدودیت کلید‌هایی که روی کیبورد زده می‌شوند
• حمله فیشینگ
• نصب برنامه‌ای با دارا بودن همه دسترسی‌ها بدون اطلاع کاربر
• باز کردن رمز گوشی و انجام کارهای دلخواه وقتی صفحه نمایش خاموش است.

در واقع به طور خلاصه می‌توان گفت مهاجم کنترل کامل روی دستگاه قربانی داشته و هر کاری را می‌تواند انجام دهد.

با اینکه این آسیب‌پذیری فاش شده است محققان معتقدند که گوگل نمی‌تواند به سادگی این آسیب‌پذیری را برطرف کند زیرا این قابلیتی است که روی سیستم عامل اندروید در نظر گرفته شده است. قابلیت نمایش در بالا که از اندروید ۶ به این سیستم عامل اضافه شد مورد سوء استفاده‌های زیادی قرار گرفته و موجب شده کاربران گرفتار بدافزار‌های مختلفی شوند. خبر بد در این مورد این است که گوگل تا ارائه نسخه جدید اندروید که اندروید O است قرار نیست این مشکل را برطرف کند. با توجه به اینکه نسخه جدید اندروید در اواخر تابستان عرضه می‌شود و هنوز بسیاری از دستگاه‌ها به اندروید ۷ به‌روز‌رسانی نشده‌اند، انتظار می‌رود کاربران زیادی قربانی حملاتی از این دست شوند.

راه حلی که برای جلوگیری از حمله Cloak & Dagger وجود دارد غیرفعال کردن قابلیت نمایش در بالا یا draw on top در اندروید ۷.۱.۲ است. برای این منظور در تنظیمات دستگاه به مسیر زیر رفته و این قابلیت را غیرفعال نمایید:

• Setting → Apps → Gear symbol → Special access → Draw over other apps.‎

مورد دیگری که همواره توصیه می‌کنیم دانلود برنامه از گوگل پلی است. البته بهتر است تا حد امکان از برنامه‌های توسعه دهندگان معتبر استفاده شود و همواره دسترسی‌هایی که یک برنامه نیاز دارد بررسی شود و اگر برنامه‌ای بیش از حد کارایی خود درخواست دسترسی داشت از نصب آن خودداری شود.