هجمة العباءة والخنجر : ثغرة في نظام الأندرويد ‘Cloak and Dagger’

تنبيه للجميع: هذا ليس تدريباً. فهو ينطبق على جميع نسخ أندرويد، ولم تقم جوجل بعد بتصحيح الثغرة الأمنية في وقت إصدار هذا المنشور. وباستخدام هذه الثغرة الأمنية، يتمكن المخرِّبون والأشرار من الاستيلاء على البيانات مثل كلمات المرور وتثبيت تطبيقات ذات مجموعة كاملة من التصاريح ومراقبة الجهات التي يتفاعل معها المستخدم والتعرف على نوع الهاتف الذكي أو التابلت الأندرويد الذي يضغط على لوحة مفاتيحه. ونعود ونكرر… هذا ليس تدريباً

وقد اكتُشف الهجوم – الذي أُطلق عليه ‘العباءة والخنجر’- من قبل موظفين في معهد جورجيا للتقنية وجامعة كاليفورنيا في سانتا باربرا. وقد لفت هؤلاء الموظفون انتباه شركة جوجل إلى المشكلة ثلاث مرات، ولكن جوجل كانت في كل مرة ترد بأن كل شيء يسير على ما يُرام. ولم يكن أمام الباحثين خيار سوى نشر اكتشافاتهم: بل إنهم أنشأوا موقعاً إلكترونياً لذلك الغرض:
cloak-and-dagger.org

ماهية هجمة العباءة والخنجر

باختصار، تستخدم الهجمة أحد تطبيقات جوجل بلاي. فعلى الرغم من أن التطبيق لا يطلب أي أذونات محددة من المستخدم، يحصل المهاجمون على حقوق عرض واجهة التطبيق على الجزء العلوي من تطبيقات أخرى مما يؤدي إلى إعاقة عرضها بصرياً إضافة إلى حقوق النقر على أزرار نيابة عن المستخدمين بصورة لا تجعلهم يلاحظون حدوث أي شيء مشكوك فيه.

وتُعد الهجمة محتملة نظراً لعدم ترقية المستخدمين بصراحة لتمكين التطبيقات من الوصول إلى وظائف

SYSTEM_ALERT_WINDOW عند تثبيت تطبيقات من متجر جوجل بلاي، حيث يسهل الحصول على الإذن للوصول إلى ACCESSIBILITY_SERVICE (A11Y).

ما هي أنواع تلك الأذونات؟ يسمح الإذن الأول لأي تطبيق بفرض واجهته أعلى أي تطبيق آخر ويسمح الإذن الثاني للتطبيق بالوصول إلى مجموعة من الوظائف -خدمة الوصول- للأشخاص الذين يعانون إعاقة بصرية أو سمعية. وهذا الإذن الأخير يمكن أن يصنع فارقاً كبيراً -حتى الأمور الخطيرة- على أي جهاز من خلال السماح للتطبيق بمراقبة ما يحدث في التطبيقات الأخرى والتفاعل معها نيابة عن المستخدم.

ما الأمر السيِّئ الذي قد يحدث؟

طبقة غير مرئية

في المقام الأول، تطغى الهجمات التي تستخدم الإذن الأول
‘SYSTEM_ALERT_WINDOW’
على التطبيقات الأخرى باستخدام واجهتها دون ترقية للمستخدم. علاوة على ذلك، يمكن أن تتخذ النوافذ التي يمكن عرضها أي شكل -بما في ذلك الأشكال التي تتضمن ثقوباً- كما أنه يمكن أن تسجل النقر أو تسمح لها بالمرور بحيث تتمكن نافذة التطبيق أدناه من تسجيلها.

يمكن لمطوري البرمجيات الخبيثة على سبيل المثال إنشاء طبقة شفافة تطغى على لوحة المفاتيح الافتراضية لجهاز الأندرويد وتحول دون جميع محاولات النقر على الشاشة. ومن خلال ربط إحداثيات المكان الذي نقر فيه المستخدم على الشاشة وأماكن الحروف على لوحة المفاتيح؛ يمكن للمهاجم معرفة بالضبط ما يكتبه المستخدم على لوحة المفاتيح. ويُطلق على البرامج الخبيثة من ذلك النوع  برامج تسجيل حركات المفاتيح. وهذا هو أحد الأمثلة التي طرحها الباحثون للبرهنة على الهجوم.

بشكل عام؛ يُعد SYSTEM_ALERT_WINDOW
من الأذونات الخطيرة للغاية وتفترض شركة جوجل نفسها أن ذلك التطبيق ينبغي أن يكون محدوداً على عدد صغير من التطبيقات. ورغم ذلك، وفي ظل احتياج التطبيقات الشهيرة مثل فيسبوك مسنجر (رؤساء  .الدردشة التي تطغى على أي شيء آخر) وسكايب وتويتر لهذا الإذن، يبدو أن فريق جوجل قد استنتج أنه سيكون من السهل لو أن متجر جوجل بلاي أعطى الإذن دون حث المستخدم صراحة. للأسف، فإن البساطة والأمن لا يتطابقان دائماً.

مخاطر مزايا إمكانية الوصول

وقد صُمِّم الإذن الثاني ‘إمكانية الوصول’ لأهداف جيدة: تسهيل الأمور على من يعانون إعاقات بصرية أو سمعية للتعامل مع أجهزة أندرويد. ورغم ذلك، فإن هذه المزية توفر هذا العدد الهائل من الأذونات للتطبيقات الأكثر استخداماً لمختلف الأهداف من خلال التطبيقات التي ينبغي أن تنفذ إجراءات غير مسموح بها عادة على أجهزة أندرويد.

So what are all of these #Android permissions anyway? A guide to what it all means. #Mobile #security #privacy https://t.co/RetY9JVYZX pic.twitter.com/ZoCUslOFQc

— Kaspersky Lab (@kaspersky) February 9, 2017

على سبيل المثال، عند قراءة ما يحدث على الشاشة بصوت مرتفع لمن يعانون إعاقة بصرية، فقد يحصل أحد التطبيقات الذي يتمتع بخدمة الوصول على معلومات من قبيل: ما الذي قام التطبيق بفتحه والأزرار التي نقر عليها المستخدم وتوقيت ظهور إشعار ما. وهذا يعني أن التطبيق يدرك الإطار العام لما يحدث. وهذا ليس كل ما في الأمر. فعلاوة على مراقبة الأنشطة، يستطيع التطبيق أن يؤدي عدة إجراءات نيابة عن المستخدم.

بوجه عام، تدرك شركة جوجل أن إذن الوصول يتيح للتطبيقات القدرة على القيام عملياً بأي شيء قد يفكر الشخص فيه على الجهاز. ولذلك؛ يتعين على المستخدمين تمكين خاصية إمكانية الوصول لكل تطبيق على حدة وذلك في قائمة خاصة في قسم الإعدادات في الهاتف الذكي.

تكمن المشكلة في أنه باستخدام الإذن الأول ومن خلال عرض النوافذ التي تطغى على معظم مساحة الشاشة بمهارة (بعيداً عن زر “موافق ‘)، يخدع المهاجمون المستخدمين بتمكين خيارات إمكانية الوصول. واهمين أنهم يوافقون على أشياء غير مضرَّة.

ومن ثم، ونظراً لأن خاصية إمكانية الوصول يمكنها أن تدرك السياق وتتصرف نيابة عن المستخدمين، بما في ذلك القيام بعمليات شراء في متجر جوجل بلاي، فإن ذلك ييسِّر للمهاجمين استخدام جوجل بلاي لتنزيل تطبيق تجسس خاص وإعطائه أي أذونات يريدونها. علاوة على ذلك، يمكنهم القيام بذلك حتى ولو كانت الشاشة مُغلقة أو عند تشغيل مقطع فيديو مثلاً مما يحجب أي شيء يحدث أسفلها.

التصيُّد الاحتيالي

كما أن الوصول إلى إذن
‘SYSTEM_ALERT_WINDOW’ و’ACCESSIBILITY_SERVICE’
يتيح للمحتالين تنفيذ هجمات تصيُّد دون إثارة شكوك المستخدمين.

على سبيل المثال، عندما يفتح أي مستخدم تطبيق الفيسبوك ويحاول تسجيل الدخول وإدخال كلمة المرور، فقد يفهم تطبيق آخر يتمتع بأذونات إمكانية الوصول ما يحدث ومن ثم يقوم بالتدخل. لذلك، ومن خلال استغلال إذن
‘SYSTEM_ALERT_WINDOW’
والقدرة على التغطية على تطبيقات أخرى، فقد يعرض التطبيق للمستخدم نافذة تصيُّد تبدو مثل مربع كلمة المرور الخاص بالفيسبوك حيث سيقوم المستخدم الذي لا تراوده أي شكوك في الأمر بتسجيل الدخول وإدخال كلمة المرور الخاصة بحسابه.

وفي هذه الحالة، فإن معرفة السياق تتيح للمطورين عرض شاشة التصيُّد في الناحية اليمني فقط عندما يكون المستخدم على وشك إدخال كلمة المرور. ومن وجهة نظر المستخدم، فقد جرت عملية تسجيل الدخول في الفيسبوك كما هو متوقع، ولذلك لا يوجد ثمة شيء يدعو للشك في أن هناك أمر ما خطأ.

ولا تُعد هجمات مثل تلك التي ذكرناها أعلاه جديدة بالنسبة للباحثين الأمنيين. بل إنها يُطلق عليها اسم
— tapjacking
بمعنى الهجمات التصيُّديَّة للنقر على لوحة المفاتيح. وقد وفَّرت شركة جوجل لمطوري تطبيقات أندرويد وسيلة لمعاودة المحاولة: وهي خيار للتحقق مما إذا كان التطبيق قابعاً تحت طبقة ما، وفي هذه الحالة لن يُسمح للمستخدمين بأداء بعض الخطوات. وهذا هو سبب حماية معظم التطبيقات المصرفية من الهجمات من خلال برامج تغطية مثل العباءة والخنجر . ورغم ذلك، فالطريقة الوحيدة التي تضمن تماماً ألا يكون التطبيق مُعرَّضاً لمثل هذه الهجمات تتمثل في الاتصال بالمطوِّر.

كيفية حماية جهازك من هجوم العباءة والخنجر

أجرى القائمون على البحث الخاص بالعباءة والخنجر اختبارات على ثلاثة من أكثر إصدارات الأندرويد شيوعاً: أندرويد 5 وأندرويد 6 وأندرويد 7 والتي تشكل في مجملها 70% من جميع أجهزة أندرويد. وقد ثبت أن تلك الإصدارات  مُعرَّضة جميعها للهجوم، والأمر نفسه ربما ينطبق على جميع الإصدارات السابقة أيضاً. بعبارة أخرى، إذا كان لديك جهاز أندرويد، فالأمر قد يهمك أنت أيضاً.

لذلك، نقدم فيما يلي الطريقة التي تكفل حمايتك:

1. لا تحاول تثبيت تطبيقات مجهولة من متجر جوجل بلاي والمتاجر الأخرى، وخاصة التطبيقات المجانية. إذ إن التطبيقات المُرخَّصة لن تهاجمك باستخدام ‘العباءة والخنجر’ ورغم ذلك، يظل السؤال الخاص بكيفية التمييز بين التطبيق المشكوك فيه والتطبيق المُرخَّص مطروحاً.
2. تحقق بصورة دورية من الأذونات المقترنة بالتطبيقات المُثبتة على جهازك وقم باستبعاد الأذونات غير اللازمة. يمكنكقراءة هذا المنشورللتعرف على المزيد حول كيفية تنفيذ ذلك.

وأخيراً وليس آخراً، لا تنسَ تثبيت حلول أمنية على أجهزة أندرويد. وهناك نسخة مجانية من  برنامج كاسبرسكي لأمن الإنترنت خاص بأجهزة أندرويد، وإذا لم يكن لديك حتى الآن برنامجٌ أمنيٌّ على هاتفك الذكي أو التابلت، يوصى بتثبيته حيث ستكون هذه بداية جيدة.