ระวัง! Accessibility Clickjacking บนแอนดรอยด์ ดักอ่านข้อมูลบนจอและดักฟังการพิมพ์ได้

by tekkasit
6 March 2016 - 15:11

บริษัทรักษาความปลอดภัยอุปกรณ์พกพา Skycure ออกมาเปิดเผยในงาน RSA Conference ว่ามีมัลแวร์ประเภทใหม่ "accessibility clickjacking" บนแอนดรอยด์ที่ทำให้คนร้ายสามารถดักอ่านข้อมูลบนแอพและดักฟังการพิมพ์ได้ โดยที่มีอุปกรณ์แอนดรอยด์ที่รุ่นต่ำกว่า Lollipop กว่าห้าร้อยล้านเครื่องตกอยู่ในความเสี่ยงนี้

ปกติในแอนดรอยด์จะมีบริการที่เรียกว่า Accessibility Service ที่สามารถเข้าถึงและควบคุมการสั่งงานเครื่องแทนผู้ใช้ เจตนาคือช่วยเหลือผู้พิการหรือผู้ที่มีปัญหาในการสั่งการตามปกติ เช่น ช่วยอ่านเนื้อหาอีเมลให้ฟัง เขียนอีเมลให้ตามคำบอก สั่งการโปรแกรมประยุกต์ต่างๆ แทน ซึ่งถ้าคนร้ายสามารถติดตั้ง Accessibility Service ได้ ก็จะสามารถเข้าดักฟังเนื้อหาที่ขึ้นบนแอพที่รันอยู่ และดักฟังการพิมพ์รวมถึงรหัสผ่านได้ทั้งหมด

แต่ปกติแล้วการจะติดตั้ง Accessibility Service จะต้องผ่าน System Dialog ของตัวระบบ Android โดยตรง เพื่อขอคำยืนยันจากผู้ใช้งาน เพื่อป้องกันการลักลอบติดตั้งโดยผู้ใช้ไม่ยินยอม

ที่นี้เริ่มมีมัลแวร์ใช้เทคนิค clickjacking ลวงผู้ใช้โดยสร้างหน้าจอหลอกครอบทับหน้าจอขออนุญาตติดตั้ง Accessibility Service เถื่อน ถ้าผู้ใช้ไม่รู้ตัวเผลอกดตามลำดับไปจะเป็นการอนุญาตติดตั้งบริการเถื่อนไป ทำให้คนร้ายสามารถดักอ่านการพิมพ์ข้อความและสามารถอ่านหน้าจอแอพที่ทำงานอยู่ ทำให้เครื่องนี้ไม่ปลอดภัยจากการดักฟัง คนร้ายจะรู้ว่าเปิดแอพอะไร เมื่อไร ไปเว็บไหน ใช้ชื่อบัญชีผู้ใช้และรหัสผ่านคืออะไร ตลอดเวลา

ข้อเสียคือมัลแวร์ที่ใช้เทคนิคนี้ไม่เรื่องมาก เครื่องผู้ใช้ไม่รูทก็สามารถทำงานได้ รวมถึงถ้าติดสำเร็จจะสามารถลักลอบติดตั้งมัลแวร์ที่อันตรายมากขึ้นไปอีกได้โดยผู้ใช้ไม่รู้ตัวก็เป็นได้

จริงๆ เทคนิค clickjacking บนแอนดรอยด์ไม่ใช่เรื่องใหม่เสียทีเดียว ก่อนหน้านี้ก็มีม้ลแวร์เรียกค่าไถ่ (ransomware) ที่ใช้เทคนิค clickjacking ลวงให้ติดตั้ง device administrator เพื่อเรียกเงินค่าไถ่ หากผู้ใช้ไม่ยอมจ่ายเงิน มัลแวร์จะลบข้อมูลภายในเครื่องทั้งหมด รวมถึงแฉประวัติการท่องเว็บให้กับคนในรายชื่อ contacts ในเครื่องทั้งหมด และแน่นอนว่าคนร้ายทำสำเนาข้อมูลที่จำเป็นในการแฉไปก่อนแล้ว ต่อให้ปิดเครื่องหนีไปก็ไม่มีประโยชน์

คำเตือนคือ อย่าซุกซนลงแอพที่มาจากแหล่งที่ไม่น่าไว้วางใจ แม้แต่แอพบน Google Play ก็ควรจะเลือกแต่เจ้าที่มีประวัติที่ดี และอย่ากด dialog box ที่ไม่รู้ว่ามาจากไหนหรือปรากฏขึ้นในจังหวะที่ไม่ควรจะมี รวมถึงถ้าเป็นไปได้ การเปลี่ยนมาใช้ Android 5.0 Lollipop จะช่วยปิดช่องโหว่ตระกูล clickjacking กลุ่มนี้ไปได้

ที่มา: SkyCure, Symantec

Blognone Jobs Premium