Убедитесь, что ваше устройство Android уязвимо для Tapjacking

Модель разрешений времени выполнения в Android Marshmallow должна была защитить устройства Android от приложений, собирающих ненужную информацию. Тем не менее, было доведено до сведения общественности, что некоторые вредоносные приложения на Marshmallow нашли способ тапджек ваши действия по предоставлению им разрешений, которые вы никогда явно не предоставляли.

Чтобы вредоносное приложение взломало ваше устройство, ему потребуется разрешение на наложение экрана (Разрешить рисование поверх других приложений). И как только он получит разрешение, он потенциально может обманом заставить вас ввести конфиденциальные данные. Например, вредоносное приложение с разрешением наложения экрана может помещать фальшивый пароль поверх реального экрана входа в систему, чтобы собирать ваши пароли.

Как работает Tapjacking

Разработчик Иво Банас создал приложение для демонстрации эксплойта. Это работает так:

• Когда приложение запрашивает разрешения, вредоносное приложение закрывает поле разрешений исходного приложения любыми разрешениями, которые ему нужны.
• Если пользователь затем нажимает «Разрешить» на оверлее вредоносного приложения, он / она предоставит ему разрешение, которое потенциально может поставить под угрозу данные на его устройстве. Но они об этом не узнают.

Ребята из XDA провели тест, чтобы проверить, какие из их устройств уязвимы для взлома. Ниже приведены результаты:

• Nextbit Robin – Android 6.0.1 с июньскими исправлениями безопасности – Уязвимый
• Moto X Pure – Android 6.0 с майскими исправлениями безопасности – Уязвимый
• Honor 8 – Android 6.0.1 с июльскими патчами безопасности – Уязвимый
• Motorola G4 – Android 6.0.1 с майскими исправлениями безопасности – Уязвимый
• OnePlus 2 – Android 6.0.1 с июньскими исправлениями безопасности – Не уязвимый
• Samsung Galaxy Note 7 – Android 6.0.1 с июльскими исправлениями безопасности – Не уязвимый
• Google Nexus 6 – Android 6.0.1 с августовскими исправлениями безопасности – Не уязвимый
• Google Nexus 6P – Android 7.0 с августовскими исправлениями безопасности – Не уязвимый

через xda

Ребята из XDA также создали APK, чтобы другие пользователи могли проверить, уязвимы ли их устройства Android, работающие на Android 6.0 / 6.0.1 Marshmallow, для Tapjacking. Загрузите APK-файлы приложений (Вспомогательные приложения для сервисов Tapjacking и Tapjacking) по ссылкам для скачивания ниже и следуйте инструкциям, чтобы проверить уязвимость Tapjacking на вашем устройстве.

Скачать Tapjacking (.apk) Скачать сервис Tapjacking (.apk)

Как проверить уязвимость Tapjacking на устройствах Android Marshmallow и Nougat

1. Установите оба зефир-tapjacking.apk а также зефир-tapjacking-service.apk файлы на вашем устройстве.
2. Открыть Tapjacking app из панели приложений.
3. Нажмите на КОНТРОЛЬНАЯ РАБОТА кнопка.
4. Если вы видите текстовое поле, всплывающее над окном разрешений, которое гласит «Сообщение о разрешении», тогда ваше устройство уязвимый к Tapjacking. Смотрите скриншот ниже: Left: Vulnerable | Справа: не уязвимы
5. Щелкнув Позволять покажет все ваши контакты как надо. Но если ваше устройство уязвимо, вы не только предоставили доступ к контактам, но и некоторые другие неизвестные разрешения, а также вредоносному приложению.

Если ваше устройство уязвимо, обязательно попросите производителя выпустить исправление безопасности, чтобы исправить уязвимость Tapjacking на вашем устройстве.

Как обезопасить себя от уязвимости к Tapjacking

Если ваше устройство дало положительный результат на уязвимость Tapjacking, мы советуем вам не давать Разрешить рисование поверх других приложений разрешение для приложений, которым вы не полностью доверяете. Это разрешение – единственный шлюз для вредоносных приложений, которые могут воспользоваться этим эксплойтом.

Кроме того, всегда убедитесь, что приложения, которые вы устанавливаете на свое устройство, поступают от надежного разработчика и источника.

через xda