درحالحاضر، هکرها روی جدیدترین نسخهی اندروید گوگل تمرکز کردهاند و موفق شدهاند با توسعهی بدافزاری جدید، از سد جدیدترین موانع امنیتی اندروید ۱۳ عبور کنند.
گوگل اندروید ۱۳ را در ماه آگوست منتشر کرد و هکرها هم اکنون در نظر دارند آخرین اقدامات امنیتی این شرکت را دور بزنند. تیمی از محققان بدافزاری را فهمیده اند که در حال انجام است که از تکنیک جدیدی برای فرار از محدودیتهای جدید گوگل در مورد دسترسی اپلیکیشنها به خدمات دسترسی استفاده میکند. استفاده نادرست از سرویسهای دسترسپذیری، شناسایی رمزهای عبور و دادههای خصوصی را برای بدافزارها آسانتر میکند و از این رو یکی از پرکاربردترین دروازهها برای بازیگران بد در اندروید است.
برای اینکه بفهمیم چه اتفاقی میافتد، باید قبل از ورود به آن، اقدامات امنیتی جدید Android 13 را بررسی کنیم. Android 13 دیگر به برنامههای جانبی اجازه نمیدهد تا به سرویسهای دسترسپذیری دسترسی داشته باشند، مگر اینکه با استفاده از راهحلی پیچیده، مجوز برنامه مذکور را اعطا کنید. این به معنای محافظت در برابر بدافزارهایی است که ممکن است شخص بیتجربهای از خارج از فروشگاه Play دانلود کرده باشد، مانند برخی از اسکنرهای کد QR اشاره داشت، چنین برنامهای معمولاً از کاربران میخواهد که به آن اجازه استفاده از سرویسهای دسترسپذیری را بدهند، اما این گزینه دیگر بهآسانی برای این نوع بدافزارها دردسترس نیست.
باتوجهبه اینکه سرویسهای دسترسیپذیری گزینهای قانون برای برنامههایی محسوب میشود که قصد دارند گوشیهای هوشمند را برای افرادی که نیاز دارند دردسترستر کنند، گوگل نمیخواهد استفاده از این خدمات را برای همهی برنامهها ممنوع کند. اپلیکیشنهای دانلودشده از گوگلپلی از این قاعده مستثنی هستند و همین امر برای برنامههایی نیز صادق است که ازطریق فروشگاههای اپلیکیشن غیررسمی بارگیری میشوند؛ ازجمله F-Droid یا فروشگاه اپلیکیشن آمازون.
درواقع این ویژگی برای برنامههای منتشرشده در فروشگاههای شخص ثالث دردسترس است که ازطریق API نصب بستهی مبتنیبر جلسه بهره میبرند. گوگل برای این تصمیمگیری خود استدلال میکند که فروشگاههای دیگر معمولاً برنامهها را پیش از ارائه به کاربران بررسی میکنند و درواقع، خط دفاعی در آنها وجود دارد. این معافیت دقیقاً همان چیزی است که هکرها در آخرین اکسپلویتهای خود از آن بهره میبرند.
ThreatFabric دریافت که توسعهدهندگان بدافزار برخی از افراد گروه Hadoken هستند که قصد دارند روشی جدید را روی بستر بدافزارهای قدیمی توسعه دهند و از خدمات دسترسیپذیری آنها برای بهدستآوردن بینش دربارهی دادههای شخصی هدف خود استفاده میکنند. ازآنجاکه اعطای دسترسی به برنامههای جانبی در اندروید ۱۳ دشوارتر است، بدافزار جدید در دو بخش ارائه میشود و درواقع، برنامهای است که کاربر آن را نصب میکند.
این اپلیکیشن مانند فروشگاه برنامه از همان API نصب بستهی مبتنیبر جلسه بهره میبرد تا قطعه کد واقعی بدافزار را بدون محدودیت در فعالسازی سرویسهای دسترسی روی دستگاه هدف نصب کند. درحالیکه بدافزار همچنان میتواند از کاربران درخواست کند که سرویسهای دسترسیپذیری را برای برنامههای جانبی فعال سازد، راهکار استفادهشده برای انجام این کار، بسیار جالب است. فریبدادن کاربران برای فعالکردن خدمات دسترسی با یک ضربه، آسانتر از آن چیزی است که این حملهی دوگانهی جدید به آن دست مییابد.
ThreatFabric خاطرنشان میکند که بدافزار مذکور هنوز در مراحل اولیهی توسعه است و این شرکت نام آن را BugDrop تعیین کرده است. پیشازاین، گروه Hadoken پروژهی قطرهچکانی دیگری به نام Gymdrop را راهاندازی کرده بود که بستری برای توزیع بدافزارهای دیگر نیز فراهم میساخت. این گروه بدافزار بانکی دیگری به نام Xenomorph را نیز ساخته است که همگی از خدمات دسترسیپذیری اندروید بهره میبرند. درنهایت، توصیه میشود تا آنجا که امکان دارد، اجازهی استفاده از خدمات دسترسیپذیری را برای برنامههای مختلف و بهخصوص آنهایی که از سازندهی آنها اطمینان ندارید، صادر نکنید.
منبع:zoomit
