Hlavní navigace

Meziaplikační útok na Android umožňuje ukrást uživatelská data

Petr Krčmář

Bezpečností experti z Michiganské a Kalifornské univerzity objevili zajímavý útok na mobilní uživatele, který umožňuje ukrást citlivá data včetně přihlašovacích údajů do různých služeb nebo čísel platebních karet. Útok nazvaný UI state inference attack dovoluje neprivilegované aplikaci na pozadí zjistit, co se právě děje na displeji telefonu.

K tomu jsou využívány různé postranní kanály, z nichž nejdůležitější je shared-memory side channel. Ten dovoluje sledovat události směrované na cílovou aplikaci. Sdílená paměť je přitom v systému používána zcela regulérně k výměně událostí mezi běžícími aplikacemi. Útočník ale jejím čtením dokáže odhadnout, co se právě děje na displeji.

Není sice možné načíst přímo obsah obrazovky, ale je možné zjistit, jaký grafický prvek (takzvanou aktivitu) má právě uživatel zobrazenu. Nevinně se tvářící útočná aplikace tak pozná, že uživatel v aplikaci GMail právě otevřel přihlašovací obrazovku a na popředí vyhodí vlastní phishingovou podobu tohoto okna. Uživatel pak zadá své údaje jinam.

Přestože byl problém demonstrován na Androidu, podle autorů je možné jej provést prakticky na libovolné platformě, včetně tech desktopových. Princip práce správců oken je totiž všude prakticky stejný a navíc jsou si aplikace ve všech systémech velmi podobné.

Našli jste v článku chybu?