Keylogging özelliği
UC Santa Barbara ve Georgia Tech’ten araştırmacılar ‘Cloak and Dagger’ olarak adlandırılan yeni bir Android saldırı sınıfı tespit etti. Bu saldırı tipinde zararlı telefonda gizli olarak faaliyet gösterirken hackerların yaptığınız yazışmaları kaydetmelerini ve cihaz sahibinin farkında olmadan cihazı kontrol etmelerini sağlıyor. Cloak and Dagger zararlıları, Android ara yüzüyle ilgili bir avantajı kendi lehine çevirerek sisteme girmek için sadece iki izin kullanıyorlar: SİSTEM UYARI PENCERESİ ve BAĞLAMA ERİŞİLEBİLİRLİK HİZMETİ (a11y).
Bu durum araştırmacıları endişeye sevk ediyor zira Android Play Store’dan indirilen herhangi bir uygulama için ‘draw-on-top (herhangi bir uygulamanın üzerine çizim yapma)’ izni veriyor. Hacker sisteme girdiğinde cihaz kullanıcısının a11y iznini de vermesi için kandırılması mümkün hale geliyor. Cloak and Dagger’ın kullanılabilir olduğu bir uygulama görünürde zararsız görseller altında zararlı aktivite katmanını gizleyerek kullanıcıların görünmeyen butonlara ve klavye kaydedicilere (keyloggers) basmalarını sağlıyor.
Araştırmacılar “İşleri daha da kötüleştirecek şey şu ki, telefonun ekranı kapalı durumda iken, erişim imkanı kazanan uygulama telefon kilidini açabiliyor, diğer uygulamalarla etkileşime geçebiliyor” diyorlar. “Yani ekran kapalı iken bir saldırgan bir dizi zararlı faaliyeti gerçekleştirebilir ve işlem sonunda telefonu tekrar kilitleyerek kullanıcının farkına varmasına engel olur”.
Google bu açığın farkında
Bir sözcü “Her zaman olduğu gibi araştırmacılarla yakın temas halindeyiz, ve kullanıcılarımızı güvende tutmak için gösterdikleri çabaları takdir ediyoruz. Bu uygulamaların yüklenişlerini tespit etmek ve engel olmak için tüm Google Play bulunan cihazlardaki güvenlik hizmetimiz olan ‘Google Play Protect’i güncelledik. Bu bildirimin öncesinde halihazırda Android O’ya yeni güvenlik korumalarımızı yüklemiştik. Böylece bu tip sorunlara karşı koruma gücünü daha da arttırdık” dedi.
Yanick Fratantonio adlı araştırmacı Android O’da yapılan son güncellemelerin Cloak and Dagger’ı devre dışı bırakabileceğini, ekibin bu durumu test ederek kendi web sitelerinde bu doğrultuda güncelleme yapacaklarını belirtti. Şimdilik yapılabilecek şey ise gelişigüzel uygulama yüklememek ve izinlerle ilgili gözümüzü dört açmak.