Android blijkt kwetsbaar voor overlay aanvallen

Een nieuwe kwetsbaarheid in het Android platform maakt het mogelijk overlay aanvallen uit te voeren. Hierbij wordt een malafide laag bovenop een legitieme applicatie geplaatst, waarmee nietsvermoedende gebruikers kunnen worden verleid ongemerkt verhoogde rechten te verstrekken aan aanvallers. Deze rechten maken het ondermeer mogelijk malafide apps te installeren.

Dit melden onderzoekers van Unit42, het onderzoeksteam van Palo Alto Networks. Alle verouderde versies van Android zijn kwetsbaar; alleen in Android 8.0 Oreo is de kwetsbaarheid (CVE-2017-0752) niet aanwezig.

Toast

Het beveiligingslek zit in de zogeheten 'Toast' overlay in Android, die door ontwikkelaars van apps kan worden gebruikt om snel informatie te tonen aan gebruikers. Hiervoor is het normaal gesproken nodig de privilege ‘SYSTEM_ALERT_WINDOWS’ aan te vragen, wat bedoeld is om overlay aanvallen te voorkomen. De kwetsbaarheid die Unit42 heeft gevonden maakt het echter mogelijk deze vereiste te omzeilen en zonder toestemming - en daarmee ongemerkt - een malafide laag bovenop een legitieme applicatie te laden.

Dit betekent in de praktijk dat cybercriminelen ongemerkt een onschuldige ogende pagina bovenop een legitieme app kunnen leggen. Op deze pagina wordt bijvoorbeeld toestemming gevraagd om de app te updaten om een nieuwe feature te gebruiken. Wie dit goedkeurt, geeft in de praktijk ongemerkt verhoogde rechten aan de aanvaller. Deze rechten kunnen vervolgens door de aanvaller worden misbruikt om allerlei aanvallen uit te voeren op het apparaat. Denk hierbij aan het ongemerkt installeren van malafide applicaties, het verzamelen van inloggegevens of het versleutelen van het apparaat met als doel losgeld te eisen.