Cloak and Dagger Attack: แอพพลิเคชันแท้ ไม่ใช่มัลแวร์ แต่แฮ็ค Android ได้

ทีมนักวิจัยจากมหาวิทยาลัย Georgia Institute of Technology ออกมาเปิดเผยการโจมตีอุปกรณ์ Android รูปแบบใหม่ ชื่อว่า “Cloak and Dagger” ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ ขโมยข้อมูลสำคัญ เช่น ข้อความแชท รหัสผ่าน รหัส OTP และอื่นๆ โดยที่ผู้ใช้ไม่รู้ตัว ที่สำคัญคือ ไม่ได้โจมตีผ่านช่องโหว่ และไม่ได้ใช้มัลแวร์ ใช้เพียงแค่แอพพลิเคชันปกติที่ไม่ได้ทำอะไรผิด

การโจมตีแบบ Clock and Dagger ใช้ได้ผลกับอุปกรณ์ Android ทุกเวอร์ชันที่ต่ำกว่า 7.1.2 โดยทีมนักวิจัยได้ทดสอบกับคน 20 คนพบว่าไม่มีใครรู้ตัวและตรวจจับพฤติกรรมที่ผิดปกติได้ ซึ่งการโจมตีแบบ Clock and Dagger อาศัยสิทธิ์ในการทำงานพื้นฐาน 2 รายการ คือ

• SYSTEM_ALERT_WINDOW (“draw on top”) – เป็นฟีเจอร์ที่ช่วยให้แอพพลิเคชันสามารถซ้อนทับ (Overlay) หน้าจอของอุปกรณ์และแอพพลิเคชันอื่นๆ ได้
• BIND_ACCESSIBILITY_SERVICE (“a11y”) – เป็นฟีเจอร์ที่ถูกออกแบบมาเพื่อช่วยเหลือผู้พิการหรือมีปัญหาด้านสายตาผ่านทางการรับคำสั่งผ่านเสียง หรืออ่านออกเสียงข้อความบนหน้าจอให้ผู้ใช้ฟัง

จะเห็นว่าการโจมตีแบบ Clock and Dagger ไม่ได้อาศัยโค้ดอันตรายอย่างโทรจันแต่อย่างใด ซึ่งช่วยให้แฮ็คเกอร์สามารถพัฒนาแอพพลิเคชันที่ดูเหมือนเป็นแอพพลิเคชันปกติทั่วไปที่ไม่มีอันตราย แล้วส่งขึ้น Google Play โดยที่ Google ไม่สามารถตรวจหาสิ่งผิดปกติเจอ ที่สำคัญคือฟีเจอร์พื้นฐานบางรายการ เช่น SYSTEM_ALERT_WINDOW อนุญาตให้แอพพลิเคชันที่โหลดจาก Google Play ใช้ได้ทันทีโดยไม่ต้องทำการร้องขอแต่อย่างใด

“พูดให้ชัดคือ เราส่งแอพพลิเคชันที่มีการร้องขอสิทธิ์ 2 รายการ และเป็นแอพพลิเคชันที่ไม่ได้ประกอบด้วยฟังก์ชันอันตรายอย่างการดาวน์โหลดและรันโค้ดใดๆ (ซึ่งเห็นได้ชัดว่าเป็นการกระทำที่ไม่ประสงค์ดี) แอพพลิเคชันนี้ได้รับการยอมรับจากทาง Google Store เพียงแค่ไม่กี่ชั่วโมงหลังจากนั้น (และจนถึงตอนนี้ก็ยังคงอยู่บน Google Store” — ทีมนักวิจัยกล่าว

เมื่อผู้ใช้เผลอติดตั้งแอพพลิเคชันนี้ลงไปแล้ว ทีมนักวิจัยสามารถโจมตีอุปกรณ์ Android ได้หลายรายการ เช่น

• Clickjacking ระดับสูง
• ดักฟังข้อมูลการพิมพ์
• โจมตี Phishing แบบเนียนๆ
• ติดตั้ง God-mode App อย่างเงียบๆ (ซึ่งได้รับสิทธิ์ทั้งหมด)
• ปลดล็อกอุปกรณ์และสั่งรันการทำงานบางอย่าง (ในขณะที่หน้าจอยังคงดับอยู่)

หรือสรุปได้ง่ายๆ ว่าแฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ Android และทำการสอดพฤติกรรมของผู้ใช้ได้ วิดีโอด้านล่างแสดงสาธิตการโจมตีแบบ Clock and Dagger รูปแบบต่างๆ

ทีมนักวิจัยได้แจ้งรูปแบบการโจมตีใหม่นี้ไปยัง Google แล้ว แต่คาดว่าต้องใช้เวลาในการแก้ไขพอสมควร เนื่องจากเป็นปัญหาในระดับการออกแบบอุปกรณ์ซึ่งเกี่ยวข้องกับ 2 ฟีเจอร์มาตรฐานที่ทำงานอย่างถูกต้องตามที่คิดไว้ ไม่ใช่การแก้ไขบั๊กของระบบปฏิบัติการปกติ

ระหว่างที่รอแก้ปัญหานี้ ทีมนักวิจัยแนะนำให้ปิดฟีเจอร์ “draw on top” บน Androin 7.1.2 โดยไปที่ Settings → Apps → Gear symbol → Special access → Draw over other apps นอกจากนี้อย่าคิดว่าแอพพลิเคชันที่ดาวน์โหลดมาจาก Google Play จะมีความมั่นคงปลอดภัยเสมอไป ผู้ใช้ควรเลือกดาวน์โหลดแอพพลิเคชันจากนักพัฒนาที่เชื่อถือได้ หรือได้รับการยอม

รายะเอียดงานวิจัย: http://cloak-and-dagger.org/

ที่มา: http://thehackernews.com/2017/05/android-hacking-technique.html