Ricercatori dell’Istituto tecnologico della Georgia hanno individuato un metodo per sfruttare, o meglio abusare, dei permessi ottenuti da una qualsiasi app nel dispositivo Android. I permessi di cui abusa sono due ovvero SYSTEM_ALERT_WINDOWS e BIND_ACCESSIBILITY_SERVICE.
In parole povere è possibile eseguire l’upload di un app nel Play Store, la quale abusando di questi due permessi di sistema, permette all’attaccante di prendere controllo del sistema e, nello specifico, eseguire le seguenti operazioni:
- registrazione dei messaggi scritti come SMS ma anche codici PIN ecc
- installazione silenziosa di app in modalità God-Mode (con tutti i permessi abilitati)
- sblocco del telefono silenzioso e possibilità di eseguire azioni arbitrarie nel sistema, anche a schermo spento
- hijacking ad ed esplorazione web (visita siti web malevoli ecc)
- attacco avanzato di clickjacking (tecnica che porta un utente a cliccare su un qualcosa che non è ciò che si aspetta, usato molto nel phishing)
- attacco phishing silenzioso (come già indicato)
Ecco alcuni video dimostrativi:
Ricordiamo che non c’è alcuna notifica per l’utente e che i permessi di cui abbiamo parlato sono automaticamente concessi dal sistema alle app installate in Android. Le versioni “vulnerabili” vanno dalla versione 5 alla versione 7.
Per mitigare il problema è possibile disabilitare le voci Interazioni comandi applicazioni accessibile da Applicazioni > Ingranaggio (o il menù con i puntini accanto ad Applicazioni) > Accesso speciale.