То, что мы видим на экранах наших мобильных телефонов, не всегда является тем, чем мы на самом деле оперируем.
Это было продемонстрировано исследовательской группой из Венского технического университета (Вена, Австрия), состоящей из Филиппа Бира, Себастьяна Рота, Марко Скуарчина и Мартины Линдорфер.
На телефонах Android невидимое приложение может быть активным на переднем плане, и это потенциальная проблема безопасности. Затем пользователи работают с приложением, которое они не видят, и могут быть обмануты для выполнения нежелательных действий, таких как предоставление определенных прав вредоносному приложению или даже удаление данных.
Исследовательская группа уже находится в контакте с командой безопасности Android. Недавно обнаруженная уязвимость безопасности теперь будет представлена на ведущей мировой конференции по безопасности USENIX, которая пройдет в Сиэтле (США). 13–15 августа.
Безобидная игра с неприятными последствиями
На смартфоне могут быть активны несколько приложений одновременно. Обычно один из них виден на переднем плане, и пользователь взаимодействует с ним, когда нажимает на экран. «Тем не менее, приложения также могут запускать другие приложения и использовать анимацию, такую как медленное постепенное появление или слайды», — объясняет Бир из группы безопасности и конфиденциальности Венского технического университета (Институт логики и вычислительной техники). «Это именно то, чем можно воспользоваться».
Мошенническое приложение может незаметно запустить другое приложение, но отобразить его прозрачно. Теперь он находится на переднем плане, и им можно управлять одним касанием пальца, но он остается невидимым.
«Мы попробовали это, создав простую игру, в которой вы набираете очки, нажимая на маленьких жучков на экране», — говорит Бир. «Но затем игра открывает другое приложение, например, браузер. Теперь мы можем разместить наших жуков из игры в любом месте, где захотим, чтобы нажать на точное положение на экране. Вы чувствуете, что все еще играете в игру с ошибками, но на самом деле вы теперь работаете с недавно запущенным приложением, которое вы даже не видите».
Исследовательская группа попросила двадцать испытуемых опробовать игру с ошибками, и они действительно смогли незаметно получить различные разрешения таким образом, такие как доступ к камере смартфона. «Теоретически вы также можете использовать этот метод для запуска банковского приложения или удаления всех данных на своем мобильном телефоне», — говорит Бир.
Виновных пока нет
Таким образом, команда Венского технического университета доказала, что атака работает. Но используется ли он на самом деле? «Мы изучили около 100 000 приложений из Play Store и не нашли ни одного, использующего эту уязвимость», — говорит Бир. «Поэтому мы надеемся, что уязвимость еще не нанесла никакого реального ущерба, но, конечно, проблема должна быть решена».
Команда уже связалась с командой разработчиков Android; Технически можно было бы закрыть лазейку. Также были установлены контакты с производителями Firefox и Google Chrome — оба уже закрыли лазейку для своих браузеров. GrapheneOS, операционная система на базе Android, разработанная специально для обеспечения максимальной безопасности, также уже решила эту проблему.
«Как правило, вы никогда не должны устанавливать приложения, которые не кажутся полученными из надежного источника», — говорит Бир. «Когда вы получаете доступ к камере или микрофону, это часто обозначается значками в строке состояния, поэтому вам следует обратить на них внимание».
Если вы хотите быть в безопасности, вы можете полностью отключить анимацию приложений (в настройках в разделе «Доступность», «Цвет и движение»).