Баг в Android позволяет фиксировать все происходящее на экране и записывать аудио

Специалисты MWR Labs рассказали (PDF) о новом, довольно интересном векторе атак на Android-устройства. Исследователи утверждают, что их атака сработает против гаджетов, работающих под управлением Lolipop, Marshmallow и Nougat, а это порядка 77,5% от всех устройств на базе Android.

Ключевым компонентом атаки являет сервис MediaProjection, который позволяет фиксировать все происходящее на экране, а также записывать системное аудио. Данный сервис присутствует в Android с самого начала, и ранее для его использования был необходим root-доступ и специальные ключи, то есть использование MediaProjection, как правило, было ограничено системными приложениям, созданным самими производителями. Однако с выходом Android Lolipop (5.0) инженеры Google отменили эти ограничения, открыв сервис для всех. Хуже того, для использования MediaProjection приложению даже не нужно запрашивать у пользователя какие-либо права.

Исследователи объясняют, что при обращении к MediaProjection, приложение уведомляет пользователя лишь посредством intent call – всплывающего уведомления SystemUI, которое сообщает, что приложение намеревается перехватить «картинку» экрана и системное аудио и запрашивает разрешение. Специалисты выяснили, что такой запрос очень легко замаскировать, если точно знать, когда он появится на дисплее и вывести поверх него другое уведомление SystemUI. Подобную технику называют tapjacking, и преступники используют ее уже много лет.

«Данная уязвимость вызвана тем, что подверженные проблеме версии Android не могут заметить такие поддельные уведомления SystemUI, — объясняют исследователи. — Это позволяет атакующему создать приложение, которое будет накладывать оверлей поверх уведомлений SystemUI, что в результате приведет к эскалации привилегий приложения и позволит захватывать изображение с рабочего стола пользователя».

В составе Android Oreo (8.0), вышедшем этой осенью, описанная специалистами проблема была устранена, но в силу огромной фрагментации рынка, большинство устройств по-прежнему остаются уязвимыми. По словам исследователей, единственным утешением может послужить тот факт, что атака получается не до конца «невидимой». Так, во время записи аудио или всего происходящего на рабочем столе в панели уведомлений все же будет отображаться соответствующая иконка, которую может заметить пользователь.