تمامی گوشی‌های دارای سیستم‌عامل اندروید به یک نوع حمله بسیار خطرناک که کنترل کامل دستگاه را بر عهده می‌گیرد، آسیب‌پذیر هستند.

Cloak and Dagger

محققان یک حمله جدید را کشف کردند که Cloak and Dagger نام‌گذاری شده است که بر روی تمامی نسخه‌های اندروید شامل نسخه ۷٫۱٫۲ نیز قابل اجراست.

حمله Cloak and Dagger به مهاجمان این اجازه را می‌دهد تا به‌طور مخفیانه کنترل کامل دستگاه شما را بر عهده گیرند و اطلاعات شخصی شما را بدزدند که این اطلاعات می‌تواند شامل حروف و اعداد نوشته شده، چت‌ها، PIN دستگاه، کلمات عبور حساب‌های کاربری آنلاین، کد عبور OTP و مخاطبان می‌شود.

چه چیزی در مورد حمله Cloak and Dagger جالب است؟

این حمله از هیچ‌گونه آسیب‌پذیری‌ در سیستم‌عامل اندروید بهره‌برداری نمی‌کند و به جای آن، از یک سری مجوزهای قانونی صادرشده توسط برنامه‌ها که به‌طور گسترده در برنامه‌های مشهور مورد استفاده قرار می‌گیرند، سوءاستفاده می‌کند تا به یک سری از ویژگی‌های خاص در دستگاهِ دارای سیستم‌عامل اندروید دسترسی پیدا کند.

محققان مؤسسه فناوری جورجیا این حمله را کشف کرده‌اند[۱] و به‌طور موفقیت‌آمیز بر روی ۲۰ نفر آن را اجرا کرده و هیچ‌کدام از آن‌ها متوجه فعالیت مشکوکی بر روی دستگاه خود نشدند.

حملات Cloak and Dagger از دو مجوز پایه در اندروید استفاده می‌کنند:

SYSTEM_ALERT_WINDOW (“draw on top”)
BIND_ACCESSIBILITY_SERVICE (“a11y”)

اولین ویژگی به ویژگی draw on top معروف است و یک ویژگی overlay قانونی است که به برنامه‌ها اجازه می‌دهد تا بر روی صفحه‌نمایش اصلی هم‌پوشانی داشته و بالاتر از برنامه‌های دیگر قرار گیرند.

مجوز دوم، به a11y معروف است و به‌گونه‌ای طراحی شده است تا به کاربران معلول، کور و یا دارای مشکل در بینایی کمک کند و به آن‌ها اجازه می‌دهد تا اطلاعات درخواستی را به‌صورت فرمان‌های صوتی وارد کنند یا اینکه به محتواهای موردنظر از طریق ویژگی صفحه خواننده، گوش دهند.

مطلب ترسناک در مورد این حمله این است که مهاجمان می‌توانند این حمله را بر روی هر سیستم‌عامل اندرویدی اجرا کنند.

ازآنجاکه این حمله نیازمند هیچ کد مخربی برای انجام اعمال خرابکارانه نیست، برای مهاجمان راحت است که یک برنامه مخرب را تولید کرده و در Google Play Store قرار دهند بدون اینکه شناسایی شود.

متأسفانه، این یک واقعیت شناخته شده است که مکانیزم‌های امنیتی مورداستفاده توسط گوگل به اندازه موردنیاز کافی نیست تا تمامی بدافزارها را از فروشگاه‌های آنلاین دور نگه دارد.

خبرهای زیادی با عناوین “صدها برنامه توسط یک adware که کاربران play store را هدف قرار داده بودند، آلوده شدند” و “برنامه‌های باج‌گیر افزار در play store کشف شدند” در گذشته منتشر شدند.

فقط در ماه گذشته، محققان چندین برنامه‌ تحت سیستم‌عامل اندروید را کشف کردند که به صورت یک برنامه بی‌گناه به نام Funny Videos در Play Store قرار داشت که بیش از ۵۰۰۰ بار نیز دانلود شده بود که در حال گسترانیدن یک تروجان بانکی از نوع BankBot بود که کلمات عبور حساب‌های کاربری بانکی فرد قربانی را می‌دزدید[۲].

در اینجا توسط محققان توضیح داده شده است که چگونه به Google Play Store وارد شده‌اند تا حمله Cloak & Dagger را پیاده‌سازی کنند:

“به‌طور خاص، ما یک برنامه را که نیازمند این دو مجوز بود و شامل یک قابلیت غیرمبهم برای دانلود و اجرای یک کد دلخواه (در تلاش برای شبیه‌سازی یک رفتار مخرب) می‌شد را بر روی Google Play Store ثبت کردیم و این برنامه بعد از گذشت چندین ساعت مورد تأیید قرار گرفت و هنوز هم بر روی Google Play Store قرار دارد.”

هنگامی‌که این برنامه نصب شود، محققان می‌گویند که فرد مهاجم می‌تواند فعالیت‌های مخربی شامل موارد زیر را انجام دهد:

حمله پیشرفته clickjacking
ضبط کردن کلیدهای فشرده‌شده توسط کاربر به‌طور نامحدود
حملات phishing مخفیانه
نصب کردن مخفیانه برنامه God-mode که تمامی مجوزها در آن فعال است.
باز کردن مخفیانه قفل گوشی و فعالیت‌های دلخواه در هنگامی‌که حتی صفحه گوشی خاموش است.

به‌طور خلاصه، مهاجمان می‌توانند به‌طور مخفیانه کنترل دستگاه اندروید شما را در دست گیرند و بر روی هر فعالیتی که شما بر روی گوشی همراه خود انجام می‌دهید نظارت داشته باشند.

محققان همچنین ویدیوهایی برای اثبات ادعای خود منتشر کردند که شامل چند سری از حملات Cloak and Dagger است که شما با دیدن آن‌ها تعجب خواهید کرد[۳و۴و۵].

گوگل قادر به برطرف کردن این مشکل نیست، حداقل نه در زمان کوتاه

محققان دانشگاهی در حال حاضر این حمله جدید را به گوگل گزارش دادند اما ازآنجایی‌که این مشکل ریشه در نحوه طراحی سیستم‌عامل اندروید دارد، که شامل دو ویژگی استاندارد می‌شود که طبق طراحی از پیش تعیین‌شده عمل می‌کنند، حل شدن این مشکل بسیار سخت خواهد بود.

Yanick Fratantonio که نویسنده اول مقاله مرتبط با این حمله است می‌گوید: “تغییر دادن یک ویژگی مشابه برطرف کردن یک مشکل نیست. طراحان سیستم باید به این فکر باشند که چگونه یک ویژگی به‌ظاهر نامربوط می‌تواند مشکل‌زا باشد. ویژگی‌ها به‌طور جداگانه بر روی دستگاه عمل نمی‌کنند.”

طبق گزارش‌ منتشرشده درگذشته[۶]، از نسخه اندروید Marshmallow به بعد، گوگل اجازه SYSTEM_ALERT_WINDOW یا draw on top را به تمامی برنامه‌هایی که به‌طور مستقیم از Google Play Store رسمی نصب می‌شوند، می‌دهد.

این ویژگی که به یک برنامه مخرب اجازه می‌دهد تا صفحه‌نمایش دستگاه را hijack کند، یکی از روش‌هایی است که توسط مجرمان سایبری و مهاجمان بسیار مورد بهره‌برداری قرار گرفته است تا کاربران اندروید بی‌خبر را گول ‌زده و آن‌ها را در دام بدافزارها و کلاه‌برداری‌های phishing اندازد.

اگرچه گوگل در نظر دارد تا سیاست خود را در Android O تغییر دهد و زمان رونمایی از آن را در سه‌ماهه سوم سال جاری قرار داده است.

بنابراین کاربران باید منتظر باشند همان‌طور که میلیون‌ها کاربر همچنان منتظر منتشر شدنAndroid Nougat (N) از طرف سازندگان دستگاه‌ها هستند.

به‌عبارت‌دیگر، بسیاری از کاربران گوشی‌های هوشمند همراه باید توسط باج‌گیر افزارها[۷]، adwareها و تروجان‌های بانکی[۸] حداقل در طول یک سال دیگر نیز قربانی شوند.

جلوگیری موقتی

راحت‌ترین راه برای غیرفعال کردن حملات Cloak and Dagger در اندروید نسخه ۷٫۱٫۲ خاموش کردن ویژگی مجوز draw on top از این طریق است:

Settings → Apps → Gear symbol → Special access → Draw over other apps

راه‌حل جامع و راحت برای جلوگیری از مورد حمله واقع شدن، دانلود همیشگی برنامه‌ها از Google Play Store است اما باید به سازنده برنامه هم توجه کرد که مورد اعتماد و تأیید باشد.

همچنین به کاربران پیشنهاد می‌شود تا مجوزهای یک برنامه را قبل از نصب کردن آن به‌طور کامل بررسی کنند. اگر هر برنامه‌ای مجوزی بیش از نیاز خود درخواست کرد، کاربران باید از نصب کردن آن امتناع ورزند.