Η αδυναμία ελέγχθηκε μέσω ενός Android smartphone, αλλά οι ερευνητές ισχυρίζονται ότι η μέθοδος θα μπορούσε να χρησιμοποιηθεί και σε όλες τις άλλες πλατφόρμες – καθώς κάθε λειτουργικό σύστημα έχει ένα παρόμοιο χαρακτηριστικό: τη δυνατότητα των εφαρμογών να έχουν πρόσβαση στη κοινόχρηστη μνήμη της κινητής συσκευής. Ωστόσο, οι ερευνητές δεν έχουν πραγματοποιήσει δοκιμές σε άλλα συστήματα.
Η επίθεση μπορεί να πραγματοποιηθεί με την χρήση μιας φαινομενικά ακίνδυνης εφαρμογής, όπως για την αλλαγή ταπετσαρία φόντου. Μετά την εγκατάσταση της, οι ερευνητές ήταν σε θέση να πραγματοποιήσουν exploit σε μια ευπάθεια που αναλήφθηκε πρόσφατα στο κανάλι της κοινόχρηστης μνήμης μιας διαδικασίας, η οποία για να προσεγγιστεί δεν χρειάζεται δικαιώματα ή προνόμια η εφαρμογή.
Μετά από την πρόσβαση τους, αρχίζουν να παρακολουθούν τις αλλαγές στο εσωτερικό της κοινόχρηστης μνήμης. Οι αλλαγές αυτές συνδέονται με αυτό που η ομάδα των ερευνητών ονομάζει σαν «δραστηριότητα μετάβασης» ή «activity transition event.» Με άλλα λόγια, όταν ένας χρήστης χρησιμοποιεί μια εφαρμογή, για παράδειγμα, για να συνδεθεί στο Gmail ή να τραβήξει μια φωτογραφία, οι αλλαγές των δραστηριοτήτων σημειώνονται.
Υπάρχουν δύο στάδια στην επίθεση αυτή: στο πρώτο, η επίθεση πρέπει να γίνει σε πραγματικό χρόνο, δηλαδή τη στιγμή που ο χρήστης συνδέεται στο Gmail. Στο δεύτερο στάδιο, το hack θα πρέπει να γίνει με τέτοιο τρόπο ούτως ώστε να μη ανιχνευτεί από τον χρήστη – κάτι το οποίο μπορεί να επιτευχθεί με ένα καλό timing.
Η μέθοδος δοκιμάστηκε με επιτυχία σε εφαρμογές όπως το Gmail, Chase Bank και τη H & R Block.
Επιθέσεις στο Gmail ήταν επιτυχής κατά 92%, όπως και οι επιθέσεις στο H & R Block. Οι πιθέσεις που πραγματοποιήθηκαν στις εφαρμογές Chase, Newegg, WebMD και Hotels.com ήταν επιτυχείς κατά 83%.
Μια δύσκολη εφαρμογή ήταν η εφαρμογή του Amazon, με ποσοστό επιτυχίας 48%.
Ο Zhiyun Qian, αναπληρωτής καθηγητής στο UC Riverside ανέφερε στο ZDNet:
«Από τη σχεδίαση του, το Android επιτρέπει σε εφαρμογές να προσπελαστούν ή να γίνουν hijacked.
Αλλά το θέμα είναι ότι πρέπει να το κάνετε τη σωστή στιγμή έτσι ώστε ο χρήστης να μην το παρατηρήσει. Εμείς κάνουμε ακριβώς αυτό και είναι κάτι που κάνει την επίθεση μας μοναδική.»
Qian υποδηλώνει ότι οι χρήστες «δεν εγκαταστήσετε untrusted εφαρμογές,» και για τους προγραμματιστές, ο ερευνητής λέει ότι μια πιο προσεκτική αντίστροφη σχέση μεταξύ της ασφάλειας και της λειτουργικότητας θα πρέπει να οριστεί σε πέτρα.
Η εργασία τους με τίτλο, «Peeking into Your App without Actually Seeing It: UI State Inference and Novel Android Attacks,» (.PDF) παρουσιαστηκε στις 22 Αυγούστου στο USENIX Security Symposium στο San Diego.
Δείτε το βίντεο από μία από τις επιθέσεις.
πηγη
