Android Exploit Cloak & Dagger pode roubar sua senha e muito mais
Usuários do Android podem querer fique de olho nos aplicativos que eles baixam em seus dispositivos como pesquisadores descobriram uma série de vulnerabilidades no sistema operacional que depende de duas permissões específicas do Android para trabalhar.
Apelidado Manto e Adaga pela equipe de pesquisa que descobriu a vulnerabilidade, o ataque se baseia em abusar SYSTEM_ALERT_WINDOW
e BIND_ACCESSIBILITY_SERVICE
permissões, a fim de comprometer o sistema.
A maneira como o exploit funciona é bastante simples: um aplicativo malicioso baixado e instalado no dispositivo Android, com as permissões necessárias concedidas sem exigir a entrada do usuário.
De lá, hackers são capazes de executar clickjacking, registrar pressionamentos de tecla, phishing e até mesmo instalar um aplicativo em modo Deus, tudo sem que o usuário esteja ciente disso..
A fim de ilustram o perigo que a vulnerabilidade representa, os pesquisadores prepararam três vídeos que demonstram os possíveis ataques que poderiam ser realizados.
O primeiro é chamado de Invisible Grid Attack, e funciona colocando uma sobreposição invisível sobre o teclado do dispositivo. Com isso, o hacker pode identificar as informações que estão sendo digitadas.
O segundo vídeo mostra uma tentativa de clickjacking que eventualmente culmina com uma aplicação em modo de Deus silenciosamente instalado em segundo plano sem que o usuário perceba.
Finalmente, o terceiro vídeo mostra como um hacker poderia roubar uma senha manipulando as sobreposições.
Então, qual versão do Android é suscetível a essa vulnerabilidade específica. Infelizmente, a vulnerabilidade é aplicável em todas as versões do Android, incluindo a versão atual do Android 7.1.2 Nougat.
Nem tudo é desgraça e melancolia no entanto, como o Google Desde então, foi notificado sobre a vulnerabilidade, então tenha certeza de que a empresa estará procurando maneiras de consertá-la..
Enquanto isso, fique de olho nos aplicativos que você baixa da Google Play Store.