patrizio.tufarolo

Android, attacco a mezzo Toast

Le notifiche on-screen display di Android possono essere usate per condurre attacchi clickjacking inducendo l'utente a concedere privilegi aggiuntivi alle app. Google rilascia la patch nel security bulletin di Settembre

Roma - I ricercatori di Palo Alto Networks hanno illustrato un nuovo attacco al sistema operativo Android che utilizza le notifiche Toast per consentire ad un'applicazione malevola di ottenere permessi aggiuntivi manipolando l'interazione tra l'utente e l'interfaccia grafica del sistema.

Tale tecnica è una variante di Cloak & Dagger, attacco di clickjacking ideato da ricercatori dell'Università della California e della Georgia, illustrato alla conferenza Black Hat di Luglio. Tale attacco sfrutta il permesso draw on top (attribuito all'applicazione senza conferma esplicita dell'utente) per disegnare del contenuto custom davanti alla richiesta di permessi aggiuntivi e indurre l'utente ad abilitare involontariamente l'applicazione all'utilizzo dei servizi di accessibilità. Tragiche le conseguenze: possibilità, per l'applicazione, di effettuare azioni avanzate, come ad esempio registrare le stringhe composte con la tastiera, sbloccare il dispositivo iniettando il PIN, effettuare azioni a schermo spento, leggere SMS e agire sul browser Web.

Una patch parziale per tale problematica era stata già rilasciata da Google in Android 7.1.2, con l'obiettivo di impedire alle applicazioni con il permesso draw on top di sovrapporsi alla finestra di richiesta dei permessi; ciò, comunque, non è bastato per impedire ai ricercatori di apportare piccole modifiche all'attacco e renderlo comunque efficace.
Sulla base di questo lavoro, i ricercatori di Palo Alto si sono soffermati sulle notifiche Toast, i popup che comunemente appaiono in modalità on-screen-display per qualche secondo nella parte inferiore dello schermo, il cui obiettivo è quello di inviare all'utente un feedback di minore importanza sulle operazioni svolte su un'applicazione.
Una notifica Toast può essere mostrata, in linguaggio Java, nel seguente modo:

Context contesto = getApplicationContext();
CharSequence testo = "Ciao!";
int durata = Toast.LENGTH_SHORT;

Toast toast = Toast.makeText(contesto, testo, durata);
toast.setGravity(Gravity.BOTTOM, 0, 0);
toast.show();

La posizione, così come il layout, possono essere eventualmente personalizzati: l'attacco mostrato da Palo Alto, infatti, è effettuabile mediante un'applicazione malevola che inietta
due view in notifiche toast; la prima copre la UI sottostante e monitora i tap dell'utente facendo inferenza delle azioni svolte dall'utente, mentre la seconda mostra la porzione di interfaccia grafica che l'attaccante usa per trarre in inganno lo stesso.




L'attaccante può così "mascherare" i bottoni di conferma tramite un'applicazione malevola, inducendo, ad esempio, l'utente ad abilitare il tanto "comodo" servizio di accessibilità o ad impostare l'applicazione come "amministratore del dispositivo".




Le versioni di Android impattate sono tutte quelle comprese tra al 4.4.4 e la 7.1.2.

Per mostrare tale notifica, su Android 7.0 e precedenti, non è necessario effettuare il grant su alcun permesso, pertanto la patch di Google perde di efficacia.

Con Android 7.1 e successivi sono invece state introdotte due metodologie di mitigazione: un timeout e il vincolo per l'applicazione di visualizzare una sola notifica Toast per volta. Tuttavia, se la natura "short-living" della notifica Toast può sembrare un ostacolo, è sufficiente includere la notifica in un ciclo (o, ancora meglio, in un LooperThread) per assicurarsi che essa sia sempre visualizzata a schermo.




La seconda mitigazione, invece, rende l'attacco di più difficile applicazione ma comunque effettuabile, mediante l'utilizzo di un approccio alternativo: non potendo visualizzare più di un overlay, l'applicazione non è in grado di tracciare i tap multipli dell'utente; l'attacco è però eseguibile in modo quasi altrettanto efficiente mediante l'introduzione di una sleep tra la visualizzazione di una toast e l'altra.

Un video dimostrativo dell'attacco è disponibile sul sito di Palo Alto.

Tale problematica è stata inserita nel database CVE nella categoria "Privilege escalation", con il codice CVE-2017-0752 con una severity alta. Google ne ha effettuato disclosure e rilasciato la patch nel Security Bulletin del 5 Settembre; il codice sorgente della patch sarà presto disponibile nel repository Android Open Source Project e potrà essere applicato alle custom-rom; per le rom stock, invece, occorrerà attendere il rilascio di aggiornamenti Over-The-Air comprensivi delle patch da parte dei vari produttori.

Per quanto riguarda Android 8, la vulnerabilità non è presente poiché è stato introdotto un permesso specifico per la visualizzazione di notifiche toast.

Patrizio Tufarolo

fonte immagine
Notizie collegate
  • SicurezzaAndroid, attacco al TrustZoneUn bug consente di effettuare il downgrade delle applicazioni sicure in esecuzione sugli smartphone. Tuttavia, per condurre l'attacco bisogna ottenere i permessi di root
  • SicurezzaAndroid, nuovi bug nei principali bootloaderI ricercatori dell'Università della California hanno scovato sei vulnerabilità nei bootloader dei principali produttori, cinque dei quali riguardano Huawei. I bug, se sfruttati, possono portare anche al brick dei dispositivi
33 Commenti alla Notizia Android, attacco a mezzo Toast
Ordina
  • Lo userspace lo fa goggole COGLIONE Rotola dal ridereRotola dal ridereRotola dal ridere.
    non+autenticato
  • - Scritto da: sei una capra
    > Lo userspace lo fa goggole COGLIONE
    > Rotola dal ridereRotola dal ridereRotola dal ridere.

    Perchè android chi lo fa ? Rotola dal ridereRotola dal ridereRotola dal ridere
    Sei proprio un coglione senza ritegno Rotola dal ridereRotola dal ridereRotola dal ridere
    In più sei due volte coglione perchè sbagli mira quando rispondi Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • ....se mi metto a pensare a tutta quella massa di rimbambiti che dicevano che android è un sistema "sicuro by design" Rotola dal ridereRotola dal ridereRotola dal ridere

    bhè...si, ovvio..androcessoid è linux !! Rotola dal ridereRotola dal ridereRotola dal ridere
    ...da scompisciarsi ...... Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: andropausa oid
    > ....se mi metto a pensare a tutta quella massa di
    > rimbambiti che dicevano che android è un sistema
    > "sicuro by design"
    > Rotola dal ridereRotola dal ridereRotola dal ridere
    >
    > bhè...si, ovvio..androcessoid è linux !!
    > Rotola dal ridereRotola dal ridereRotola dal ridere
    > ...da scompisciarsi ...... Rotola dal ridereRotola dal ridereRotola dal ridere

    Quindi oggi android è linux.

    Bertù segna.
    -----------------------------------------------------------
    Modificato dall' autore il 18 settembre 2017 15.32
    -----------------------------------------------------------
    maxsix
    10129
  • l'80% dei telefoni in circolazione non verrà aggiornato.
    I produttori (Samsung in testa) dovrebbero essere condannati a qualche miliardo di euro di multa.
    non+autenticato
  • - Scritto da: AxAx
    > l'80% dei telefoni in circolazione non verrà
    > aggiornato.
    > I produttori (Samsung in testa) dovrebbero essere
    > condannati a qualche miliardo di euro di
    > multa.

    secondo molti del forum la politica intrapresa e' giusta :

    10 compra un nuovo telefono
    20 mancanza di assistenza/ricambi
    30 rottamazione
    40 GO TO 10

    e' cosi' che si fa girare l'economia (altrui, l'Italia importa e basta)
    non+autenticato
  • - Scritto da: AxAx
    > l'80% dei telefoni in circolazione non verrà
    > aggiornato.
    > I produttori (Samsung in testa) dovrebbero essere
    > condannati a qualche miliardo di euro di multa.
    Perché?
    Per far piacere a te?
    Quando acquisti qualche cosa non acquisti, sempre, anche l'aggiornamento gratuito a vita.
    Quando acquisti sai cosa prendi e se non lo sai, è il caso che:
    1) non comperi;
    2) ti informi meglio;
    3) vieni su PI a lagnarti, ma non cambi la realtà;
    non+autenticato
  • - Scritto da: Zack
    > - Scritto da: AxAx
    > > l'80% dei telefoni in circolazione non verrà
    > > aggiornato.
    > > I produttori (Samsung in testa) dovrebbero
    > essere
    > > condannati a qualche miliardo di euro di
    > multa.
    > Perché?
    > Per far piacere a te?
    > Quando acquisti qualche cosa non acquisti,
    > sempre, anche l'aggiornamento gratuito a
    > vita.
    > Quando acquisti sai cosa prendi

    NO. Non lo sai.
    Non lo sai tu, non lo sa la sura maria.

    Sono anni che lo dico qui dentro.
    Va scritto in quella cazzo di scatola, prima di acquistare.
    In modo che l'utente, chiunque esso sia, ha da subito una ragionevole certezza a cosa va incontro.
    maxsix
    10129
  • - Scritto da: AxAx
    > l'80% dei telefoni in circolazione non verrà
    > aggiornato.
    > I produttori (Samsung in testa) dovrebbero essere
    > condannati a qualche miliardo di euro di
    > multa.

    Ma dico, stai scherzando?
    Dovresti averlo capito che il telefono l'hai comprato ed è tua proprietà.
    Quindi devi arrangiarti con qualche esotica rom cucinata da chissà chi, oppure scriverti il codice e condividerlo come minimo qui.
    Ma subito anche.
    maxsix
    10129
  • - Scritto da: maxsix
    > - Scritto da: AxAx
    > > l'80% dei telefoni in circolazione non verrà
    > > aggiornato.
    > > I produttori (Samsung in testa) dovrebbero
    > essere
    > > condannati a qualche miliardo di euro di
    > > multa.
    >
    > Ma dico, stai scherzando?
    > Dovresti averlo capito che il telefono l'hai
    > comprato ed è tua proprietà.
    >
    > Quindi devi arrangiarti con qualche esotica rom
    > cucinata da chissà chi, oppure scriverti il
    > codice e condividerlo come minimo
    > qui.
    > Ma subito anche.


    Ci mancava la tua puttanata da macacho rosicone, ma continui a non capire che vivete entrambi della stessa merda!

    Anche se tu sei convinto che la tua merdaFan Apple e merda più profumata, ma rimane sempre merda!
    non+autenticato
  • - Scritto da: sono la morte
    > Ci mancava la tua puttanata da macacho rosicone,
    > ma continui a non capire che vivete entrambi
    > della stessa
    > merda!
    >
    > Anche se tu sei convinto che la tua merdaFan Apple
    > e merda più profumata, ma rimane sempre
    > merda!

    Se Android è "merda" ed Apple è "merda", allora cosa non lo è? Windows Phone? Quel sistema operativo che non viene più cagato nemmeno dalla stessa Microsoft? Oppure cosa...?
    non+autenticato
  • - Scritto da: Cammello Curioso
    > - Scritto da: sono la morte
    > > Ci mancava la tua puttanata da macacho rosicone,
    > > ma continui a non capire che vivete entrambi
    > > della stessa
    > > merda!
    > >
    > > Anche se tu sei convinto che la tua merdaFan Apple
    > > e merda più profumata, ma rimane sempre
    > > merda!
    >
    > Se Android è "merda" ed Apple è "merda", allora
    > cosa non lo è? Windows Phone? Quel sistema
    > operativo che non viene più cagato nemmeno dalla
    > stessa Microsoft? Oppure
    > cosa...?

    https://www.postmarketos.org/
    non+autenticato
  • - Scritto da: mortacci
    >
    > https://www.postmarketos.org/

    Ti avrei dato ragione, se ci fossero distro Linux adattabili ad ogni tipo di smartphone. Ma solitamente le poche distro disponibili (Ubuntu Touch & co.) funzionano solo sui modelli più diffusi e/o costosi. Purtroppo dando un'occhiata ai devices supportati, questa che hai postato tu non fa eccezione. Per cui se si deve spendere un sacco di soldi per non avere pieno supporto (flash, wifi, bluetooth, audio e/o altre parti non funzionanti) e non poter nemmeno usare una app nazional-popolare come WhatsApp ad esempio, tanto vale prendersi un vecchio feature phone da 30 € e stai a posto.
    non+autenticato
  • - Scritto da: Ornitorinco Curioso
    > - Scritto da: mortacci
    > >
    > > https://www.postmarketos.org/
    >
    > Ti avrei dato ragione, se ci fossero distro Linux
    > adattabili ad ogni tipo di smartphone. Ma
    > solitamente le poche distro disponibili (Ubuntu
    > Touch & co.) funzionano solo sui modelli più
    > diffusi e/o costosi. Purtroppo dando un'occhiata
    > ai devices supportati, questa che hai postato tu
    > non fa eccezione. Per cui se si deve spendere un
    > sacco di soldi per non avere pieno supporto
    > (flash, wifi, bluetooth, audio e/o altre parti
    > non funzionanti) e non poter nemmeno usare una
    > app nazional-popolare come WhatsApp ad esempio,
    > tanto vale prendersi un vecchio feature phone da
    > 30 € e stai a
    > posto.


    Bravo vedi che i conti tornano. Non si riesce ad avere un minimo di cervello funzionante, se non è interconnesso con la grande massa, tra pecore ci si capisce meglio.

    E non chiedere più a nessuno cosa e meglio o non meglio, tu NON sapresti scegliere!
    non+autenticato
  • - Scritto da: sono la morte

    > Bravo vedi che i conti tornano. Non si riesce ad
    > avere un minimo di cervello funzionante, se non è
    > interconnesso con la grande massa, tra pecore ci
    > si capisce
    > meglio.
    >
    > E non chiedere più a nessuno cosa e meglio o non
    > meglio, tu NON sapresti
    > scegliere!

    Tu non sei la morte, ma un ritardato mentale.
    Come fa ad installarsi qualcosa che NON può installare! Poi parli ma sicuro al 100% hai un telefono Android, usi Facebook e tutta quella roba da ritardato mentale come te.
    non+autenticato