Google пусна Android 13 преди няколко дни и хакерите вече се стремят да заобиколят най-новите мерки за сигурност на компанията. Екип от изследователи откри зловреден софтуер в процес на работа, който използва нова техника за избягване на новите ограничения на Google за това, кои приложения имат достъп до услугите за достъпност. Злоупотребата с услугите за достъпност улеснява злонамерения софтуер да подслушва пароли и лични данни и следователно е един от най-използваните начини за достъп от злонамерени лица в Android.
За да разберем какво се случва, преди това трябва да разгледаме новите мерки за сигурност на Android 13. Той вече не позволява на странично заредени приложения да искат достъп до услуги за достъпност, освен ако не направите всичко възможно, за да предоставите разрешение на споменатото приложение, като използвате сложно решение. Това е един вид защита срещу злонамерен софтуер, който някой неопитен потребител може да е изтеглил по невнимание извън Play Store - например някакъв сенчест скенер за QR код или дълго търсена стара игра. След това подобно приложение обикновено иска от потребителите да му разрешат да използва услуги за достъпност, но тази опция вече не се отнася за приложения от външни магазини за софтуер.
Като се има предвид, че услугите за достъпност са легитимна опция за приложения, които искат да направят телефоните по-достъпни за нуждаещите се, Google не иска да забрани директно достъпа за всички приложения. Приложенията, изтеглени от Play Store, са освободени от това блокиране и същото важи за всяко приложение, изтеглено чрез друг магазин за приложения на трета страна, различен от Play Store (например F-Droid или Amazon App Store). Това се прави чрез изключване на приложенията, инсталирани чрез API за инсталиране на пакет, базиран на сесия, от заключването на услугите за достъпност. Мотивите на Google тук са, че магазините за приложения обикновено проверяват приложенията, които предлагат, така че вече има линия на защита. Това изключение обаче е точно това, от което хакерите се възползват в последния експлойт.
Разработчиците на злонамерен софтуер, част от групата Hadoken, работят върху нов експлойт, който надгражда по-стар такъв и използва услуги за достъпност, за да се домогнат до така важните за всички лични данни. Тъй като предоставянето на достъп до странично заредени приложения е по-трудно на Android 13, новият зловреден софтуер се предлага в две части. Първото приложение, което потребителят инсталира, е т.нар. dropper, който действа като магазин за приложения, използвайки същия API за инсталиране на пакет, базиран на сесия, за да инсталира действителната част от зловреден софтуер без ограниченията за активиране на услуги за достъпност.
Въпреки че злонамереният софтуер все още може да поиска от потребителите да активират услуги за достъпност за странично заредени приложения, заобиколното решение за активирането им е значително. По-лесно е да заблудите потребителите да активират услугите за достъпност с едно докосване, което постига тази нова двойна атака.
Злонамереният софтуер все още е в ранен етап на разработка и все още е невероятно бъгав към този момент. Ето защо компанията реши да нарече новооткрития зловреден софтуер BugDrop, тъй като той все още не е на ниво с останалата част от кода на хакерската група. Преди това групата Hadoken създаде друг проект, наречен Gymdrop, който също служи за разпространение на друг зловреден софтуер. Освен това групата създаде банков зловреден софтуер, наречен Xenomorph.
Снимка: Unsplash
Виж още: Starlink може да бъде хакнат с простичко устройство за 25 долара