Зловмисники можуть використовувати недоліки Android for Work для викрадення конфіденційних даних

Однією з основ орієнтованих на підприємства “робочих функцій платформи Android” від Google, яка раніше називалася Android for Work, є безпека. Але нещодавно виявлений експлойт, продемонстрований на конференції RSA в Сан-Франциско 16 лютого, показав, як зловмисник може переглядати, красти і навіть маніпулювати контентом на корпоративному смартфоні Android, не повідомляючи про це ІТ-адміністраторам.

Вразливість, виявлена Яїром Амітом (Yair Amit), технічним директором компанії з кібербезпеки Skycure, пов’язана з тим, як Android for Work працює з “пісочницями”, або захистом профілів користувачів. Послуга працює на основі ідеї “робочого” профілю з елементами управління бізнес-рівня, корпоративними додатками, корпоративною електронною поштою і захищеними документами на смартфоні або планшеті. Цей захищений профіль фактично діє як окремий користувач, хоча і має спільні з особистим профілем іконки-значки та сповіщення.

Ця концепція пісочниці – створення захищеного контейнера, де додатки поза робочим профілем не можуть отримати доступ до даних всередині нього – є ключовим моментом в концепції Android для роботи. Але вона не куленепробивна.

• Що таке Amazon Music: все, що потрібно знати
• Pixel Feature Drops раніше були вражаючими – тепер вони жахливо посередні
• Apple може зробити немислиме – дозволити сторонні магазини додатків для iPhone

Одна з потенційних ліній атаки стосується системи сповіщень Android. Вхідні повідомлення Android for Work позначаються червоним значком портфеля у вікні сповіщень Android, створюючи враження, що вони залишаються відокремленими від повідомлень в особистому профілі.

Але сповіщення на Android – це дозвіл на рівні пристрою, що означає, що додатки в особистому профілі можуть потенційно маніпулювати вмістом сповіщень з робочого профілю. Шкідливе програмне забезпечення може переглядати, наприклад, конфіденційні вхідні робочі електронні листи, зустрічі в календарі, вкладення файлів та інші повідомлення, і може передавати цю інформацію на віддалений сервер.

Другий напрямок атаки використовує недолік Служби доступності Android, компонента Android, який забезпечує покращення зручності використання для користувачів з обмеженими можливостями. Вона обов’язково має доступ практично до всього контенту та елементів керування Android, що робить додатки, які отримують дозвіл на її використання, особливо небезпечними – і складними для виявлення. Наприклад, програма може використовувати функцію Android “Draw Over Apps”, яка дозволяє додаткам накладати текст і графіку поверх інших додатків, щоб обманом змусити користувача активувати Службу доступності або сповіщення без його відома.

Це не означає, що атаки не можна запобігти. Android 6.0 Marshmallow вимагає від користувачів вручну дозволити додаткам створювати системні накладки, змінивши дозволи в меню налаштувань. А атака через сповіщення вимагає від користувача надання надзвичайних дозволів встановленому додатку. Тим не менш, Аміт відзначає відносну легкість обходу методу “пісочниці” Android for Work, використовуючи “ілюзію” безпеки.

“Найцікавіше в обох цих […] методах подолання розділення профілів Android for Work полягає в тому, що пристрій і операційна система Android продовжують працювати саме так, як було задумано і призначено”, – сказав Аміт.

“Саме користувача потрібно обдурити, щоб він встановив на пристрій програмне забезпечення та активував відповідні служби, які дозволяють шкідливому програмному забезпеченню отримати доступ до конфіденційної інформації. [Ілюзія безпечного контейнера […] має тенденцію дозволяти людям втрачати пильність, вважаючи, що саме середовище є достатнім механізмом безпеки для захисту даних”.

Рекомендації редакції

• Щойно придбали новий iPhone? Ось 12 порад і підказок для його освоєння
• Ця прихована функція iOS 16 перетворила мій iPhone в ідеальний гаджет для пошуку музики
• Коли мій телефон отримає Android 13? Google, Samsung, OnePlus і не тільки
• Супутниковий зв’язок в iPhone 14: як це працює, скільки коштує і не тільки
• Tidal дає бета-тестерам функцію живого діджея

Source: digitaltrends.com