Hlavní navigace

Meziaplikační útok na Android umožňuje ukrást uživatelská data

Petr Krčmář 25. 8. 2014

Bezpečností experti z Michiganské a Kalifornské univerzity objevili zajímavý útok na mobilní uživatele, který umožňuje ukrást citlivá data včetně přihlašovacích údajů do různých služeb nebo čísel platebních karet. Útok nazvaný UI state inference attack dovoluje neprivilegované aplikaci na pozadí zjistit, co se právě děje na displeji telefonu.

K tomu jsou využívány různé postranní kanály, z nichž nejdůležitější je shared-memory side channel. Ten dovoluje sledovat události směrované na cílovou aplikaci. Sdílená paměť je přitom v systému používána zcela regulérně k výměně událostí mezi běžícími aplikacemi. Útočník ale jejím čtením dokáže odhadnout, co se právě děje na displeji.

Není sice možné načíst přímo obsah obrazovky, ale je možné zjistit, jaký grafický prvek (takzvanou aktivitu) má právě uživatel zobrazenu. Nevinně se tvářící útočná aplikace tak pozná, že uživatel v aplikaci GMail právě otevřel přihlašovací obrazovku a na popředí vyhodí vlastní phishingovou podobu tohoto okna. Uživatel pak zadá své údaje jinam.

Přestože byl problém demonstrován na Androidu, podle autorů je možné jej provést prakticky na libovolné platformě, včetně tech desktopových. Princip práce správců oken je totiž všude prakticky stejný a navíc jsou si aplikace ve všech systémech velmi podobné.

Našli jste v článku chybu?
DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?