۱۳۹۶/۳/۲۸ امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران) به تازگی سیستم عامل اندروید دچار حمله ای با نام Cloak and Dagger شده است. جالب توجه است که مجرمان پشت این حمله هیچ تبعیضی بین کاربران اندروید قائل نشدند و این حمله را به گونه ای در نظر گرفته اند که بر تمامی نسخه های اندروید اعمال شود. دانستنی است که این حمله از هیچ آسیب پذیری در سیستم عامل اندروید استفاده نکرده است و تنها با به کارگیری یک سری مجوزهای قانونی صادرشده توسط برنامه‌ها که به ‌طور گسترده در برنامه‌های مشهور مورد استفاده قرار می‌گیرند، سوءاستفاده می‌کند تا به یک سری از ویژگی‌های خاص در دستگاهِ دارای سیستم‌عامل اندروید دسترسی پیدا کند. با استفاده از این اختیارات و مجوزها، مجرمان می توانند داده هایی همانند پسوردها را به سرقت ببرند. آن ها بر روی تعاملات و تایپ های کاربران اندروید نظارت کامل دارند و به راحتی می توانند صفحه کلید آن ها را مشاهده کنند. باز هم تکرار می کنیم، در این حمله هیچ تفاوتی بین کاربران اندروید وجود ندارد.

این حمله که Cloak and Dagger, نام گرفت توسط کارمندان موسسه فناوری جورجیا و دانشگاه کالیفرنیا Santa Barbara به گوگل گزارش داده شد اما ازآنجایی‌که این مشکل ریشه در نحوه طراحی سیستم‌عامل اندروید دارد، که شامل دو ویژگی استاندارد می‌شود که طبق طراحی از پیش تعیین‌شده عمل می‌کنند، حل شدن این مشکل بسیار سخت خواهد بود.

ماهیت حمله ی Cloak and Dagger

اگر بخواهیم به طور خلاصه بگوییم این حمله از اپلیکیشن گوگل پلی برای دسیسیه خود استفاده می کند. اگرچه اپلیکیشن بدون هیچ مجوزی خاصی از کاربر سوال می پرسد اما مجرمان می توانند به راحتی به دستگاه آن ها نفوذ کنند و در این حین کاربر متوجه کوچکترین اشتباهی نشود.

این حمله از دو مجوز پایه؛

1. SYSTEM_ALERT_WINDOW (“draw on top”)

2. BIND_ACCESSIBILITY_SERVICE (“a11y”)

در اندروید استفاده می‌کند.

اما چه مجوزهایی؟ اولین مجوز که به draw on top معروف است یک ویژگی overlay  قانونی است که به برنامه‌ها اجازه می‌دهد تا بر روی صفحه‌ نمایش اصلی هم‌پوشانی داشته و بالاتر از برنامه‌های دیگر قرار گیرد. اما مجوز دوم به a11y مشهور است و سیاست آن به گونه ای است که برای کاربران معلوم، کور و دارای مشکل بینایی طراحی شده است و به آن‌ها اجازه می‌دهد تا اطلاعات درخواستی را به‌صورت فرمان‌های صوتی وارد کنند یا اینکه به محتواهای موردنظر از طریق ویژگی صفحه خواننده، گوش دهند. اما مورد خطرناک تری که در این حمله وجود دارد این است که مجرمان می توانند این حمله را بر روی هر سیستم عامل اندرویدی اجرا کنند.

به دلیل اینکه این حمله به هیچ کد مخربی نیاز ندارد و یک حمله ی به نسبت بی دردسر است، برای مجرمان ساده تر است که برنامه های مخرب خود را ایجاد کنند و بدون اینکه روئیت شوند در گوگل پلی قرار بدهند. با توجه به پیشینه ی گوگل پلی تا الان متوجه شده اید که این فروشگاه ها نمی تواند از تمامی بدافزارها مصون بماند و آن جا را برای همیشه ترک نمی کنند.

مجرمان می توانند در حمله ی خود فعالیت های مخربی را که در ادامه به آن ها اشاره شده است را انجام دهند:

  • حمله پیشرفته clickjacking
  • ضبط کردن کلیدهای فشرده‌شده توسط کاربر به‌طور نامحدود
  • حملات فیشینگ مخفیانه
  • نصب کردن مخفیانه برنامه God-mode که تمامی مجوزها در آن فعال است.
  • باز کردن مخفیانه قفل گوشی و فعالیت‌های دلخواه در هنگامی ‌که حتی صفحه گوشی خاموش است.

در یک جمله بخواهیم بگوییم مجرمان با این حمله ی خود می توانند دسترسی کامل دستگاه شما را به دست بگیرند و بر تمام فعالیت های شما نظارت داشته باشند.

لایه نامرئی

عمدتا مجرمان از SYSTEM_ALERT_WINDOW برای حملات خود استفاده می کنند. به عنوان مثال مجرمان می توانند یک لایه نامرئی مجازی روی کیبرد کاربر اندروید در نظر بگیرد و در زمانی که کاربر در حال تایپ کردن یا تاچ کردن رمز عبور خود است آن را ضبط و از آن سوء استفاده کند. برنامه های مخربی که کلیدهای فشرده‌ شده بر روی صفحه کلید را ذخیره می‌کنند به صورتی که می‌توان از آن، اطلاعات تایپ شده ی کاربران از قبیل رمزهای عبور آن‌ها را سرقت کرد، کی لاگر نامیده می شود.

فیشینگ نهایی

دسترسی به SYSTEM_ALERT_WINDOW و ACCESSIBILITY_SERVICE به مجرمان اجازه می دهد که حملات فیشینگ خود را بدون اینکه کاربر متوجه کوچکترین بدگمانی شود، پیاده سازی کنند.

به عنوان مثال زمانی که کاربر فیس بوک خود را باز می کند و تلاش می کند که نام کاربری و رمز عبور خود را وارد کند، مجوز دسترسی یکی از برنامه ها می توان بر تمام رفتار کاربر و رویدادهایش مشرف باشد. سپس با استفاده از SYSTEM_ALERT_WINDOW و توانایی پوشش برنامه های دیگر، برنامه می تواند صفحه ی فیشینگ کاربر را که به عنوان مثال در حال وارد کردن رمز عبور است را نشان دهد.

مجرمان در این مورد به راحتی می توانند به رمز عبور و نام کاربری قربانی دسترسی یابند. اما همه چیز به صفحه ی فیس بوک خلاصه نمی شود و آن ها همین راه را برای صفحه های بانکی در نظر می گیرند و به حساب بانکی کاربر رخنه می کنند. این ویژگی که به یک برنامه مخرب اجازه می‌دهد تا صفحه‌ نمایش دستگاه را hijack کند، یکی از روش‌هایی است که توسط مجرمان سایبری و مهاجمان بسیار مورد بهره‌برداری قرار گرفته است تا کاربران اندروید بی‌خبر را گول ‌زده و آن‌ها را در دام بدافزارها و کلاه‌برداری‌های فیشینگ اندازد.

با وجود نقصی که در سیستم عامل اندروید وجود دارد گوگل در نظر دارد تا سیاست خود را در Android O تغییر دهد و زمان رونمایی از آن را در سه‌ماهه سوم سال جاری قرار داده است.

چگونه می توانیم دستگاه خود را در برابر Cloak and Dagger حفظ کنیم؟

محققان این حمله را بر روی سه نسخه از اندروید آزمایش کردند: اندروید 5، اندروید 6 و اندروید 7 که این سه نسخه 70% از دستگاه های اندروید را شامل می شوند. اینطور که بنظر می رسد تمام نسخه های این سیستم عامل در معرض خطر هستند و احتمال خطر برای نسخه های قدیمی تر هم وجود دارد. شاید با وجود تمام گفته ها اگر که سیستم عامل دستگاه شما اندروید است نگران شوید و به فکر راهکاری برای مقابله با این حمله بیوفتید. در ادامه راهکارهایی را متذکر می شویم که می تواند به محافظت شما در برابر حملات اندرویدی کمک بسزای کند:

  1. از نصب اپلیکیشن های ناشناخته و نامتداول از گوگل پلی و دیگر فروشگاه ها بپرهیزید. برنامه های رسمی و قانونی هرگز مورد استفاده ی حمله ی Cloak and Dagger. قرار نمی گیرند.

2.به طور منظم مجوز برنامه های مختلف را بر روی دستگاه خود بررسی کنید و برنامه هایی که به آن ها نیاز چندانی ندارید و ضروری نیستند را حذف کنید. این مقاله می تواند به شما به منظور چگونگی انجام این کار کمک کند. (Settings → Apps → Gear symbol → Special access → Draw over other apps)

3.اما در آخر هرگز نصب راهکار امنیتی برای دستگاه خود را فراموش نکنید. اگر که تا به حال هیچ راهکار امنیتی برای دستگاه خود در نظر نگرفته اید می توانید از نسخه ی رایگان اینترنت سکیوریتی کسپرسکی برای اندروید شروع کنید، مطمئنا آغازی ادامه دار خواهد بود!

  منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.