Android的Toast漏洞覆蓋(Overlay)攻擊, 將圖像疊加在其他應用程式或行動裝置的控制和設定部分。
安全研究人員警告使用者關於可能導致Toast覆蓋(overlay)攻擊的Android漏洞。這種攻擊可能會誘騙使用者安裝惡意軟體,將圖像疊加在其他應用程式或行動裝置的控制和設定部分。
隱藏按鈕可以用來安裝惡意資料竊取應用程式,甚至是劫持螢幕和並鎖住使用者的勒索病毒
覆蓋攻擊是指惡意應用程式會在其他執行中的視窗或應用程式上再繪製一個視窗。漏洞攻擊成功可以讓攻擊者欺騙使用者去點擊惡意視窗。
這是什麼意思?比方說看似正常的“確定”或“繼續安裝”圖示可以顯示在偷偷取得權限的隱藏按鈕上。它也可以用來安裝惡意資料竊取應用程式,甚至是劫持螢幕和並鎖住使用者的勒索病毒。
[延伸閱讀:CVE-2017-0780:阻斷服務漏洞可能導致Android訊息應用程式崩潰]
這個覆蓋攻擊做了什麼?
覆蓋攻擊本身並不新,而且Android作業系統內的解決方案讓它難以進行。要加以利用的惡意應用程式必須先取得使用者許可,並且必須從Google Play安裝。
但最近的漏洞提供了能成功執行覆蓋攻擊的方法。它利用的是Toast的漏洞,Toast是Android用來在其他應用程式顯示通知和訊息的功能。該分析還借鑒了電機電子工程師協會(IEEE)在最近的黑帽(Black Hat)安全大會所發表的“Cloak and Dagger”研究報告。該研究展示如何利用Android輔助功能服務的警告和通知功能來進行覆蓋攻擊。
[延伸閱讀:Android 手機勒索病毒再進化-更大、更壞、更強!]
所有版本的Android都有此漏洞,Toast甚至可以覆蓋整個螢幕
所有版本的Android都有此漏洞,除了最新的Oreo。Android Nougat有個預防措施,就是Toast通知只能顯示3.5秒。但是這可以透過將通知循環顯示來繞過。這代表攻擊者可以想蓋住惡意內容多久都可以。此外,Toast不需要與Android其他視窗有相同的權限,甚至可以利用Toast來覆蓋整個螢幕。
[延伸閱讀:GhostClicker廣告軟體是一個幽靈般的Android點擊詐騙]
你能做什麼?保持作業系統和應用程式更新,只從官方Google Play或可信賴的來源下載
此漏洞(CVE-2017-0752)的修補程式在最近以2017年9月Android安全通告的一部分發布。研究人員指出他們尚未看到真實的攻擊出現,但這並不代表你不需要更新你的行動裝置。使用此方法的惡意應用程式,所需要的只是安裝在你的行動設備上,並取得輔助功能權限。
要養成良好的行動裝置安全習慣,包括:保持作業系統和應用程式更新,只從官方Google Play或可信賴的來源下載。除了Nexus和Pixel外,其他Android行動裝置的更新仍然呈現碎片化,所以使用者應該聯絡行動裝置廠商來取得更新。組織也要嚴格執行修補程式管理政策以提高BYOD的安全性。
趨勢科技解決方案
趨勢科技提供給趨勢科技行動安全防護能夠封鎖可能利用此漏洞的惡意應用程式。一般用戶和企業也可以利用其多層次安全防護能力來保護裝置上的資料和隱私,對抗勒索病毒、詐騙網站和身份竊盜。對於企業,趨勢科技的行動安全防護企業版提供設備、合規和應用程式管理、資料保護和設定配置能力,同時可以保護設備防止漏洞攻擊,阻止對應用程式未經授權的存取以及偵測和封鎖惡意軟體和詐騙網站。
@原文出處:Android Toast Vulnerability Can Expose Users to Overlay Attacks
PC-cillin 2017雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。