Обичате ли да изтегляте и изпробвате широка гама игри и приложения за Android? Може да искате да преосмислите този навик или поне да продължите с повишено внимание. Новоразкритата уязвимост на Android означава, че злосторниците могат да използват безвредни приложения, за да ви заблудят, за да им дадете „разрешение“ да поемат контрола над вашия телефон или таблет и да гледат всичко, което правите с него.
Изследователи от UC Санта Барбара и Технологичния институт в Джорджия наскоро разкриха уязвимост, която наричат Cloak & Dagger, която може да позволи на злоупотребите да използват собствените разрешения на телефона ви срещу вас. Работи по следния начин: Изтегляте и стартирате ново приложение. Както правят много приложения, той изскача начален екран, който ви моли да се съгласите с нещо. Че нещо може да бъде почти всичко: Щракнете тук, за да гледате нашето видео с уроци. Или продължете към играта. Всъщност няма значение какво изглежда, че приложението ви моли да направите. Това, което всъщност прави, е да поиска разрешение за административни правомощия, които му позволяват да използва телефона ви за ... каквото му харесва.
Как успява да те заблуди? Използване на функция за Android, наречена „Рисуване върху други приложения“, при която изображение или диалогов прозорец се появява върху всичко друго, което може да е на екрана на вашето устройство. „Главите за чат“, използвани от Facebook Messenger, са един пример за това как работи това.
Google редовно предоставя на приложенията правото да изтеглят над други приложения, ако те го поискат. Те могат да бъдат много полезни, но умело изработеният чертеж може да бъде положен върху предупреждение за Android за предоставяне на обширни разрешения на приложението, като същевременно изглежда, че казвате ОК на нещо съвсем различно. Един пример е, че той може да активира функции за достъпност. Това позволява на нечистото приложение да вижда и записва вашите натискания на клавиши, както някои функции за достъпност трябва да направят, за да функционират.
Това (мълчаливо) видео показва как работи:
Какво можете да направите по въпроса? За съжаление текущите версии на Android не искат вашето разрешение за новоинсталирано приложение, за да изтегля над други приложения. Така че, за да разберете дали сте засегнати, започнете, като влезете в Настройки, щракнете върху приложения и след това щракнете върху настройки от списъка с приложения (зъбното колело в горния десен ъгъл). В долната част на списъка, който се появява, ще намерите „Специален достъп“. Щракнете върху това, за да видите кои приложения имат право да изтеглят над други приложения. Можете да получите подробна информация за тази уязвимост и как да проверите устройството си тук .
Google знае за тази уязвимост от известно време - изследователите алармираха компанията месеци преди да съобщят на останалите. И компанията казва, че е в състояние да открива и блокира приложения от Play Store, които се възползват от това. Така че добро място за начало би било да избягвате изтеглянето на приложения за Android от друго място, освен от Play Store, освен ако не знаете и не се доверявате на източника. И се надяваме, че Google скоро ще намери начин да затвори тази вратичка в сигурността.