News & Update

ระวัง!!! นักวิจัยพบช่องโหว่ระบบ Cloak and Dagger โจมตีแอนดรอยด์ไร้ทางป้องกัน

นักวิจัยด้านความปลอดภัยไซเบอร์พบช่องโหว่ใหม่บนแอนดรอยด์อีกแล้ว คราวนี้ตั้งชื่อว่า Cloak and Dagger เป็นช่องโหว่ที่อาศัยความผิดพลาดของ Overlay และ Permission

นักวิจัยด้านความปลอดภัยไซเบอร์พบช่องโหว่ใหม่บนแอนดรอยด์อีกแล้ว คราวนี้ตั้งชื่อว่า Cloak and Dagger เป็นช่องโหว่ที่อาศัยความผิดพลาดของ Overlay และ Permission ของระบบ

Cloak and Dagger

Cloak & Dagger เป็นคลาสใหม่สำหรับการโจมตีที่อาจเกิดขึ้น ซึ่งส่งผลต่ออุปกรณ์แอนดรอยด์ การโจมตีเหล่านี้ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถควบคุม UI feedback Loop ได้อย่างสมบูรณ์ และเข้าควบคุมอุปกรณ์โดยไม่ให้ผู้ใช้มีโอกาสสังเกตเห็นกิจกรรมที่เป็นอันตราย การโจมตีเหล่านี้ต้องมีเพียงสองสิทธิ์เท่านั้นซึ่งในกรณีที่มีการติดตั้งแอปจาก Play Store ผู้ใช้ไม่จำเป็นต้องให้สิทธิ์อย่างชัดแจ้ง และไม่ได้รับการแจ้งเตือน การศึกษาผู้ใช้ของเราระบุว่าการโจมตีเหล่านี้ทำได้จริง การโจมตีเหล่านี้ส่งผลต่อ Android เวอร์ชันล่าสุดทั้งหมด (รวมถึงเวอร์ชันล่าสุด Android 7.1.2) และยังไม่ได้รับการแก้ไข

นักวิจัยจาก University of California Santa Barbara และ Georgia Institute of Technology พบช่องโหว่จาก Overlay (การเปิดแอพซ้อนแอพอื่น) และ Accessibility Service Permission (บริการช่วยเหลือผู้พิการ) ของระบบปฏิบัติการ ทำให้สามารถแอบดักข้อมูลจากผู็ใช้งานที่กดบนมือถือได้ ( เรียกการกระทำเช่นนี้ว่า Clickjacking ) และแจ้งช่องโหว่นี้ไปยัง Google เมื่อ 9 เดือนก่อน แล้ว แต่ถึงแม้จะมีการรับทราบและพยายามแก้ไขช่องโหว่ดังกล่าว จนถึงตอนนี้ช่องโหว่ก็ยังคงอยู่บน Android 7.1.2 ที่อัพเดทแพทช์ความปลอดภัยล่าสุด แอพที่ใช้ STSTEM_ALERT_WINDOW และ BIND_ACCESSIBILITY_SERVICE สามารถทำงานจากช่องโหว่นี้ได้

อย่างแรกก็คือ Accessibility Services ที่ถูกใช้ในช่องโหว่นี้ สามารถเข้าดักข้อมูลการพิมพ์บนหน้าจอได้อย่างแม่นยำ โดยจริงๆ แล้วระบบนี้ถูกออกแบบมาเพื่อผู้ที่มีปัญหาด้านการฟัง หรือมองเห็นจะได้รับการตอบสนองจากมือถือว่ากดปุ่มถูกต้องแล้ว โดยทูลส์บางตัวถ้าทำการเปลี่ยนแปลงจะทำให้ Accessibility Services ทำงานไม่ได้ ผู้พิการจะประสบปัญหามากกว่าเดิม ทำให้การแก้ไขช่องโหว่นี้ไม่ใช่เรื่องง่ายเลย

Overlay ก็เป็นอีกปัญหาที่ยังแก้ไขไม่ได้เช่นกัน โดยตั้งแต่ Android 6.0 Marshmallow มีการเพิ่มระบบตรวจจับ Overlay มาแล้ว แต่ฟีเจอร์ดังกล่าวกลับถูกถอดออกไปใน Nougat ทำให้การโจมตีแบบนี้กลับมาอีกครั้ง โดยช่องโหว่จะทำงานจากการเรียกใช้ SYSTEM_ALERT_WINDOW ทำให้เรียกแอพอื่นขึ้นมาซ้อนหน้าฉากที่โจมตีได้ ถ้ายังนึกไม่ออกว่าแอพแบบไหนบ้างที่ทำ Overlay ขอให้นึกถึง Facebook Messenger ที่สามารถเรียก Chat ขึ้นมาจากแอพไหนก็ได้นั่นเอง

นอกจาก Overlay จะดักข้อมูลแล้ว มันยังถูกใช้งานเพื่อหลอกล่อให้ผู้ใช้งานสนใจอย่างอื่นขณะที่มันกำลังโจมตีขโมยข้อมูลได้ด้วย อย่างในวิดิโอข้างบนนี้ขณะที่ระบบกำลังเล่นวิดิโออยู่ มันแอบติดตั้งโปรแกรม และเปิดสิทธิในการดักข้อมูลเบื้องหลัง

สุดท้ายนี้มันยังแอบเก็บข้อมูลการกดหน้าจอ เมื่อตีตารางคีย์บอร์ดออกมาได้ก็สามารถคาดเดาได้ว่าผู้ใช้งานกดปุ่มไหนบนหน้าจอบ้าง ทำให้ข้อความที่พิมพ์อยู่ไม่ว่าจะเข้ารหัสดีสักแค่ไหนก็ถูกดักจับเอาไว้ได้หมด

ณ ตอนนี้ Google โฆษณาว่า Google Play Protect สามารถช่วยตรวจจับและป้องกันการติดตั้งแอพที่มีจุดประสงค์มุ่งร้ายได้ งานนี้ก็หวังว่าจะไม่มีแอพตัวไหนที่อาศัยช่องโหว่ของ Overlay และ Accessibility Services โจมตีผู้ใช้งานโผล่เข้ามา

ที่มา – Android Police

ร่วมแสดงความคิดเห็น

ความเห็น

To Top