Haziran 6, 2017

Cloak and Dagger: Android’deki büyük açık

Haberler Tehditler

Android kullananların dikkatine, bu ciddi bir olay. Tüm Android sürümleri için bu tehdit geçerlidir ve biz bu yazıyı paylaştığımız sırada Google henüz bir yama yayınlamadı. Bu açık kullanılarak, zararlı yazılımlar parolalarınız dahil bilgilerinizi çalabilir, tüm izinlere sahip uygulamalar yükleyebilir, kullanıcıların klavyede ne yazdığını görebilirler. Tekrar ediyoruz, durum çok ciddi.

Bu saldırıya Cloak and Dagger (Pelerin ve Hançer) deniyor. Saldırı Gürcistan Teknoloji Enstitüsü ve Kaliforniya Üniversitesi, Santa Barbara tarafından kanıtlandı. Bu sorun Google’a üç defa bildirildi. Ancak her seferinde Google, “Haberimiz var, üzerinde çalışıyoruz.” Dedi. Araştırmacıların da bu sorunu kullanıcılara bildirmekten başka çaresi kalmadı: Hatta bu sebeple cloak-and-dagger.org isimli internet sitesi dahi kurdular.

Cloak and Dagger saldırısının temeli

Kısaca, saldırı Google Play’den bir uygulama kullanıyor. Üstelik uygulama kullanıcıdan özel olarak bir izin de istemiyor. Saldırganlar uygulamanın üzerine uygulama açarak, sizin açtığınız uygulamanın ara yüzüne erişmenizi engelliyorlar. Kullanıcıların yerine basılan tuşlara bastıkları için, kullanıcılar bu durumdan şüphelenmiyor.

Bu saldırı gayet mümkün. Çünkü kullanıcılar uygulama indirirken, programa SYSTEM_ALERT_WINDOW yetkisi verme yetkisine sahip değil ve ACCESSIBILITY_SERVICE (A11Y) iznini almak gayet kolay.

Bunlar nasıl izinler? İlk izin uygulamanın üzerine başka uygulama açmak için kullanılıyor. Diğer izin ise bazı fonksiyonlara erişim sağlar. “Accessibility Service” görme veya duyma sorunları olan kullanıcıların işini kolaylaştırmak için kullanılan bir izindir. Ancak daha sonra daha farklı, hatta daha tehlikeli şeyler için kullanılabilir. Bir cihazda diğer uygulamalarda neler olduğunu izlenmesine olanak sağlamak ve kullanıcı yerine uygulamalarla etkileşime girmek.

Kötü ne olabilir ki?

Görünmez katman

Temel olarak, saldırı ilk izni kullanıyor, SYSTEM_ALERT_WONDOW. Uygulama, kullanıcının onayı olmayan diğer uygulamanın üzerine açılıyor. Dahası, bu pencere herhangi bir biçimde olabilir – hatta delikleri olan bir şekil bile olabilir. Böylelikle telefon ekranına yapılan dokunuşları kaydedebilir veya üzerine açılan uygulamaya verilerin girilmesine izin verilir.

Örneğin, zararlı yazılım geliştiriciler görünmez bir arayüz tasarlayarak klavyenin üzerine koyabilirler. Böylelikle telefonda basılan her noktayı kaydedebilir, daha sonra basılan noktanın koordinatlarına bakarak hangi harflere basıldığını öğrenebilirler. Bu tarz programlara keylogger deniyor.

Genel olarak, SYSTEM_ALERT_WONDOW çok tehlikeli bir izindir ve Google’a göre bu izin sadece belli uygulamalara verilmelidir. Ancak Facebook Messenger, Skype ve Twitter gibi uygulamalar da bu izni istiyorlar. Google’da bulunan ilgili ekip bu izni kullanıcıların tanımlamasındansa, uygulama indirirken Google’ın tanımlaması daha doğru olur diye düşünmüşler. Basitlik ve güvenlik. Maalesef her zaman istenildiği gibi gitmeyebiliyor.

Erişim özelliklerinin tehlikeleri

İkinci izin olan Erişilebilirlik, iyi niyetle geliştirilmiş bir izindir. Bu izin görme ve duyma zorluğu çeken kullanıcıların Android cihazları daha rahat kullanması için yapılmıştır. Ancak verilen bu izin genellikle farklı amaçlar için kullanılan uygulamalara çok sayıda izin verir.

Örneğin, ekranda ne olduğunu okuyan program görme engelliler içindir. Erişilebilirlik izni olan bir program hangi programın açıldığı, kullanıcının nereye dokunduğu ve ne zaman bildirim geldiğini görebilir. Kısacası uygulama olan her şeyi bilebilir. Hepsi bu kadar da değil. Uygulamayı izlemesinin yanı sıra kullanıcı adına da bazı eylemler gerçekleştirebilir.

Özet olarak, Google bu erişim izninin uygulamalara sınırsız izinler verdiğinin farkında. Bu yüzden kullanıcılar her uygulama için bu erişilebilirlik izinlerini tek tek ayarlamak zorunda.

Problem şu ki, ilk izin olan SYSTEM_ALERT_WINDOW’u ustaca kullanarak kullanarak, (mesela bütün ekranı kaplayarak başka şey gösterebilir, onaylama butonunu kaplamadıkları için kullanıcı başka bir şeye onay verdiğini zannederek onaylayabilir) kullanıcıları kandırabilirler.

Ayrıca Erişilebilirlik izinleri sayesinde kullanıcı adına hareket ederek istediklerini yapabilirler, mesela Google Play’den uygulama indirebilirler. Böylelikle telefona istedikleri casusluk uygulamasını yükleyebilir, istediği izinleri tanımlayabilirler. Dahası, bunu ekran kapalıyken bile yapabilirler. Örneğin aşağıda bir video izlenirken arkasında neler olduğunu göreceksiniz.

Üstün oltalama

SYSTEM_ALERT_WINDOW ve ACCESSIBILITY_SERVICE izinlerine sahip suçlular kullanıcıların dikkatini çekmeden istedikleri gibi oltalama saldırısı yapabilirler.

Örneğin, kullanıcı Facebook uygulamasını açıp giriş bilgilerini girerken Erişilebilirlik izni olan bir program ne olduğunu anlayabilir. Daha sonra SYSTEM_ALERT_WINDOW iznini kullanarak uygulamanın üzerine başka bir uygulama açabilir. Siz de şüphelenmeden bilgilerinizi girerek Facebook giriş bilgilerinizi kaptırabilirsiniz.

Bu durumda, içeriğin geliştiriciler tarafından bilinmesi, oltalama saldırısında kullanılacak ekranı doğru noktaya koymalarını sağlıyor. Ve kullanıcının açısından, şüpheli hiçbir şey olmadığı için ortada sorun yok.

Bu yukarıda bahsettiğimiz saldırılar, güvenlik araştırmacıları için yeni şeyler değiller. Hatta bunun için kullandıkları isim bile var – tapjacking. Google, Android uygulama geliştiricilere geri saldırı yöntemi sundu. Böylece kullanıcılar kendi uygulamaları üzerinde başka (görünmez bile olsa) uygulama olduğunda eylem gerçekleştiremiyorlar. Böylelikle bankacılık uygulamaları Cloak and Dagger ve benzeri uygulama üzerine uygulama açan programlara karşı güvendeler. Ancak, bir uygulamanın %100 güvenli olduğunu anlamanın en iyi yolu uygulama yöneticisine ulaşmaktır.

Cihazınızı Cloak and Dagger’a karşı nasıl korursunuz

Cloak and Dagger’ı bulan araştırmacılar, bu yöntemi en popüler Andorid versiyonları olan Android 5, Android 6 ve Android 7’de denediler. Bu üç sürümün toplamı, piyasadaki Android cihazların kullandığı versiyonların %70’i ediyor. Sonuçlara göre bu üç sürüm de tehdit altında ve büyük ihtimalle önceki versiyonlar da tehdit altındadır. Diğer bir deyişle, Android cihazınız varsa bu olay sizi ilgilendiriyor.

Kendinizi korumak için yapabilecekleriniz:

1. Google Play’den ve diğer kaynaklardan bilmediğiniz uygulamaları – özellikle ücretsiz uygulamaları indirmeyin. Bilinen ve yasal uygulamalar size Cloak and Dagger yöntemi ile saldırmazlar. Yine de, zararlı yazılım ile zararsızı nasıl ayırabileceğinizin kesin bir yöntemi yok.

2. Cihazınızdaki uygulamaların sahip oldukları izinleri sık sık kontrol edin, gereksizleri ve alakasızları düzenleyin. Nasıl yapacağınızı öğrenmek için şu gönderimize göz atabilirsiniz.

Son olarak, Android cihazınız için güvenlik yazılımı kullanmayı unutmayın. Eğer hiçbir anti virüs programı kullanmıyorsanız, ücretsiz Kaspersky Internet Security for Android kullanabilirsiniz.