Tim istraživača, u koji je uključen i asistent na Univerzitetu u Kaliforniji, Koledžu mašinstva Riverside Bourns, identificirao je slabost za koju se vjeruje da postoji u sva 3 najdominantnija sistema za mobitele, koja napadačima omogućava krađu povjerljivih informacija korisnika. Tako je, misli se na Android, iOS i Windows Phone. Iskorištavanje ove slabosti, ili bolje reći hakiranje, demonstrirali su upravo na Android telefonu.
Istraživači su testirali metod na više aplikacija, među kojima je i Gmail, te su otkrili da se Gmail može hakirati u visoku vjerovatnoću uspjeha od 92%. Neke od testiranih aplikacija su i CHASE Bank, H&R Block i Amazon.
Ova otkrića iznesena su u radu “Peeking Your App Without Actually Seeing It: UI State Interference and Novel Android Attacks”, čiji su autori Zhiyun Qian, profesor Z. Morley Mao i Qi Alfred Chen, student koji radi sa Maom.
Istraživači vjeruju da će njihov metod raditi i na drugim operativnim sistemima jer i oni dijele istu ključnu karakteristiku koja je iskorištena za hakiranje na Androidu. Na ovom metodu počeli su raditi jer su vjerovali da postoji sigurnosni rizik zbog toga što se mnogo aplikacija kreira od strane mnogo developera. Nakon što korisnik skine gomilu aplikacija na svoj smartfon, sve te aplikacije rade na istoj dijeljenoj infrastrukturi, ili preciznije operativnom sistemu.
“Naša pretpostavka je uvijek bila da se ove aplikacije u radu ne mogu miješati jedan sa drugom.” rekao je Qian. “Ovim pokazujemo da je ta pretpostavka pogrešna i da jedna aplikacija zapravo značajno utiče na druge, što može rezultirati negativnim posljedicama po korisnika.”
Napad radi tako što korisnik skine naizgled bezazlenu aplikaciju (npr. aplikacija za mijenjanje podloge), koja je zapravo sve samo ne bezazlena. Nakon instalacije te aplikacije, istraživači su sposobni iskoristiti novi javni kanal – dijeljene memorijske statistike statistike procesa, kojima se može pristupiti bez ikakvih privilegija. Inače, dijeljena memorija je standardna karakteristika operativnih sistema koja omogućava efikasno dijeljenje podataka procesa.
Zatim, istraživači prate promjene u dijeljenoj memoriji i sposobni su promjene dovesti u vezu sa onim što nazivaju ”događaj tranzicije aktivnosti” (activity transition event), u šta spadaju i aktivnosti poput logiranja na Gmail. Uz podršku i nekoliko drugih kanala sa strane, autori su pokazali da je moguće poprilično precizno u realnom vremenu odrediti u kojoj je trenutno aktivnosti aplikacija koja se napada, tj. šta Gmail aplikacija u tom momentu radi.
Postoje dva ključna uslova za napad. Prvi uslov je da napad treba da se desi u tačnom momentu u u kojem se korisnik logira u aplikaciju. Drugi uslov je da se napad treba izvršiti na neupadljiv način. Istraživači su ovo uradili tako što su oprezno izračunali pravi moment napada.
“Po dizajnu, Android dopušta aplikacijama da budu preduhitrene ili da se preuzme kontrola nad njima. Međutim, stvar je u tome da to morate uraditi u pravo vrijeme da korisnik ne bi primijetio. Mi upravo to radimo i to je ono što naš napad čini jedinstvenim.” – dodao je Qian.
Istraživači su napravili tri kratka videa u kojim objašnjavaju kako napadi rade. Uporedo su prikazane uporedne aktivnosti dva Samsunga Galaxy S3, gdje lijevi S3 pripada napadaču, a desni pripada žrtvi. Iako na video snimcima ispod nije Gmail aplikacija, ista metoda se primjenjuje i za Gmail.
U prvom videu prikazan je napad u kojem se krade šifra i SSN (social security number) u aplikaciji H&R Block. Ovdje, neprivilegovana aplikacija koja radi u pozadini može upratiti stanje u kojem je H&R aplikacija, neprimijetno napasti aktivnost koja se vidi na ekranu i ukrasti pojedinosti vezane za logiranje i SSN.
[youtube id=”Bbw9AqUVRbc” width=”600″ height=”350″]
U drugom videu, prikazan je napad kojim se krade slika bankovnog čeka korisnika u aplikaciji Chase. Ovdje također neprivilegovana aplikacija radi u pozadini i krade fotografiju čeka koju je uslikao korisnik. Sa te slike, napadač može uspješno prikupiti mnogo osjetljivih podataka poput kućne adrese, ime primaoca čeka, broj računa, pa čak i potpis.
[youtube id=”QZZwiT-Df1U” width=”600″ height=”350″]
U trećem videu prikazana je aktivnost krađe broja kreditne kartice i informacija vezano za adresu, iz aplikacije NewEgg. Priča je praktično ista kao i sa prethodna 2 videa, neprivilegovana aplikacija radi u pozadini i prati trenutno stanje u NewEgg aplikaciji, neprimijetno ubacuje dvije aktivnosti naprijed, i krade korisnikov broj kreditne kartice.
[youtube id=”BPpfoCVoOkI” width=”600″ height=”350″]
Na pitanje šta korisnik može učiniti u ovoj situaciji, Qian je jednostavno rekao da ne instaliraju neprovjerene aplikacije. Što se tiče dizajna operativnog sistema, u budućnosti će se morati opreznije balansirati između sigurnosti i funkcionalnosti.
(phys.org)
