Android用户注意！Toast覆盖攻击盛行、自我复制荧幕误导用户偷资料！

作者为 Palo Alto Networks 威胁情报团队 Unit 42 高级传讯经理 Christopher Budd

一直以来，Android 系统已是骇客最常攻击的目标之一，而近日又有新的威胁针对除新版本以外的所有 Android 系统，请大家小心提防！有关发现由 Palo Alto Networks Unit 42 的研究人员揭开，当中公布了有关一个严重影响 Google Android 平台的全新漏洞的详细资讯。

而在 2017 年 9 月 Android 安全告示亦已提供这一漏洞的修补程式。这新漏洞并不影响最新版本的 Android 8.0 Oreo，但是会影响 Android 所有的旧版本；同时有关方面仍未发现任何针对此特定漏洞的攻击。由于 Android 8.0 版本相对较新，这意味着几乎所有 Android 用家都应该立即采取行动，安装针对此漏洞的更新。

研究人员发现，利用该漏洞能够更容易发动“覆盖攻击”(overlay attack)；它属于 Android 平台上已知的攻击类型。此类攻击最有可能用于在用家的 Android 装置上安装恶意程式，亦可以用来使恶意程式完全控制装置。在最差的攻击情况下，这项漏洞可导致手机无法使用 (亦即“变砖”)，或可安装任何类型的恶意程式，包括勒索程式或资讯窃取程式。简单而言，该漏洞可被用作取得装置控制权、锁定装置并窃取资料。

“覆盖攻击”这种攻击方式，是指攻击者的应用程序会在装置上执行的其他视窗或应用程序之上绘制 (或“覆盖”) 一个视窗。成功后攻击者便能够误导用家，使其将自己点击的入侵视窗当作正常视窗。从图 1 示例可见：攻击者让使用者误以为自己正安装修补程式，实际上点击授予恶意程式 Porn Droid 完全管理员权限。

图 1：伪造的修补安装程式所覆盖的恶意程式正在要求取得管理权限

可见这攻击是如何诱骗用家无意间在装置上安装恶意程式。这也可以授予恶意程式对装置的完全管理权限。

覆盖攻击也可通过在装置上显示无法关闭的视窗，从而创造拒绝服务条件。这正是攻击者在流动装置上发动勒索软件攻击所使用的方式。当然，覆盖攻击能够在单一攻击中达成以下三个目的：

1. 诱骗用家在装置上安装恶意程式。

2. 诱骗用家对恶意程式授予完全管理权限。

3. 使用覆盖攻击来锁定装置，并借此勒索赎金。

覆盖攻击并非新鲜事，早前便曾引起过关注 ，但直到目前，根据 IEEE 安全与隐私期刊中的最新研究显示，所有人都相信试图进行覆盖攻击的恶意应用程序若要成功，必须克服两大障碍：

1. 这些应用程序必须在安装时明确向用家授予“draw on top”权限。

2. 这些应用程序必须通过 Google Play 进行安装。

这些缓解因素能够有效降低风险，因此覆盖攻击并未被视为严重的威胁。

然而根据 Unit 42 的全新研究显示，有种方式可以绕过这些缓解因素来发动覆盖攻击。研究人员发现若恶意应用程序利用这个新漏洞，那么它只需安装在装置上即可发动覆盖攻击。这意味着来自其他网站与 Google Play 以外的应用程序商店的恶意应用程序，也能进行覆盖攻击。值得注意的是，来自 Google Play 以外的网站与应用程序商店的应用程序，也是全球 Android 恶意程式的重要来源。

这个会影响 Android 功能的特定漏洞被称为“Toast”。“Toast”是一种会在屏幕上“弹出”(就像多士一样) 的通知视窗。“Toast”通常用于在其他应用程序上显示讯息和通知。

与其他 Android 视窗类型不同，Toast 不需要相同的权限，因此适用于以前的覆盖攻击之缓解因素在此并不适用。另外，我们的研究人员已概述如何建立覆盖整个屏幕的 Toast 视窗，继而能够使用 Toast 来建立与一般应用程序视窗相同功能的视窗。

根据此最新研究，覆盖攻击的风险便更高，幸好最新版本的 Android 从一开始即可免受这类攻击的影响。然而大部分的 Android 用家还在使用未经修补漏洞的版本，这意味着对所有使用 Android 8.0 以前版本的用家而言，更新装置至关重要。你可以向电讯商或手机制造商了解有关修补程式与更新程式的相关资讯。

当然，防范恶意应用程序最好的方式之一就是只从 Google Play 下载 Android 应用程序，因为 Android 的安全团队会积极筛选并在第一时间将恶意程式排除在商店外。

原文连结：

Android 用户注意！Toast 覆盖攻击盛行、自我复制荧幕误导用户偷资料！

相关文章：

【Note 8 出事了？】脸容解锁疑似出事，可用相片解锁？

HKITBLOG

由一班 IT 人编写的商用 IT 网志，为您提供最深入、齐全、实用的电脑资讯、软件网志、I.T. Blog等。