“Surreptitious Sharing Αttacks”: Ένας νέος τύπος επίθεσης στοχεύει τα Android Apps και οδηγεί σε διαρροή προσωπικών δεδομένων.
Στα πλαίσια του συνεδρίου GI Sicherheit 2016 που διεξήχθη στη Βόννη της Γερμανίας, δύο ερευνητές ασφάλειας αποκάλυψαν ένα νέο είδος επίθεσης που στοχεύει συσκευές με Android και ονομάζεται “Surreptitious Sharing”.
Το πρόβλημα είναι θαμμένο βαθιά στο API του Android. Οι δύο ερευνητές, Dominik Schürmann και Lars Wolf, εξηγούν ότι το ζήτημα επηρεάζει τα links που γίνονται share μέσω των εφαρμογών, και για τα οποία το Android χρησιμοποιεί Uniform Resource Identifiers (URIs) που παραπέμπουν στην πραγματική θέση αποθήκευσης των δεδομένων στη συσκευή.
Οι ερευνητές εξηγούν ότι η κανονική συμπεριφορά θα ήταν οι εφαρμογές να αποστέλλουν τα αρχεία ως serialized content μέσω του Intent API, και να μην χρησιμοποιούν file scheme URIs.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Aναφέρουν επίσης ότι ο ευκολότερος τρόπος για να μετριαστεί αυτό το ζήτημα είναι μην επιτρέπονται MIME συγκεκριμένου τύπου κατά τη μεταφορά ή την ανταλλαγή δεδομένων στο εσωτερικό των εφαρμογών, και πιο συγκεκριμένα προτείνουν την απενεργοποίηση των URI file schemes.
Το concept είναι λίγο δύσκολο να γίνει αντιληπτό χωρίς βαθιά γνώση του Android, γι’ αυτό οι δύο ερευνητές παρείχαν δύο demos επιδεικνύοντας τις δυνατότητες της επίθεσης.
#Παράδειγμα 1: Οι επιτιθέμενοι μπορούν να κλέψουν τους κωδικούς πρόσβασης IMAP
Οι ερευνητές δημιούργησαν ένα κακόβουλο app, το οποίο αφού εγκατασταθεί στη συσκευή των χρηστών, εμφανίζει μια ψεύτικη σελίδα, ενημερώνοντάς τα θύματα ότι η εφαρμογή έχει κρασάρει, καθώς και ένα κουμπί για την αποστολή υποτιθέμενης αναφοράς σφάλματος στον δημιουργό της εφαρμογής.
Το ψεύτικο κουμπί αναφοράς σφάλματος περιέχει ένα file scheme URI, το οποίο παραπέμπει στην ακριβή θέση του σκληρού δίσκου των χρηστών, όπου αποθηκεύονται οι κωδικοί πρόσβασης IMAP του client.
Όταν οι χρήστες κάνουν κλικ στο σύνδεσμο, ανοίγει μια εφαρμογή ηλεκτρονικού ταχυδρομείου, και αποστέλλονται οι κωδικοί πρόσβασης του IMAP απευθείας στους εισβολείς. Οι χρήστες δεν είναι σε θέση να γνωρίζουν τι ακριβώς έχει συμβεί και νομίζουν ότι απλώς έχουν κλικάρει σε ένα σύνδεσμο.
Οι ερευνητές εξέτασαν συνολικά τέσσερις εφαρμογές ηλεκτρονικού ταχυδρομείου και όλες αποδείχτηκαν ευάλωτες. Οι εφαρμογές ήταν οι Gmail, K-9 Mail, AOSP Mail και WEB.DE.
#Παράδειγμα 2: Οι επιτιθέμενοι μπορούν να υποκλέψουν ιδιωτικές συνομιλίες από εφαρμογές IM
Στη δεύτερη επίθεση τους, οι ερευνητές δημιούργησαν ένα ακόμη κακόβουλο app, το οποίο ενθαρρύνει τους χρήστες να μοιραστούν ένα αρχείο ήχου μέσω μιας εφαρμογής IM.
Όπως και προηγουμένως, το share link για το αρχείο ήχου έχει διαμορφωθεί κατάλληλα ώστε να παραπέμπει στο αρχείο της βάσης δεδομένων όπου αποθηκευόνται οι συνομιλίες από τις εφαρμογές messenger των χρηστών. Κάνοντας κλίκ για να μοιραστούν το αρχείο ήχου, οι χρήστες αποστέλλουν στην πραγματικότητα τη βάση δεδομένων των Messengers στους εισβολείς.
Οι ερευνητές εξέτασαν εφαρμογές IM όπως Skype, Hangouts, WhatsApp, Threema, Signal, Τelegraph, Snapchat και Facebook Messenger. Eυάλωτες αποδείχτηκαν οι εφαρμογές Threema, Signal, Τelegraph, και Skype.
