Se suponía que el modelo de permiso en tiempo de ejecución en Android Marshmallow haría que los dispositivos Android fueran seguros de las aplicaciones que recopilaban información innecesaria. Sin embargo, se ha señalado a la atención pública que algunas aplicaciones maliciosas en Marshmallow han encontrado una manera de tapjack sus acciones para otorgarles permisos que nunca otorgó explícitamente.
Para que una aplicación malintencionada se apropie de su dispositivo, necesitará el permiso de superposición de pantalla (Permitir dibujar sobre otras aplicaciones). Y una vez que tiene el permiso, potencialmente puede engañarlo para que proporcione datos confidenciales. Por ejemplo, una aplicación maliciosa con permiso de superposición de pantalla podría colocar una contraseña falsa en la parte superior de una pantalla de inicio de sesión real para recopilar sus contraseñas.
Cómo funciona el tapjacking
El desarrollador Iwo Banaś creó una aplicación para demostrar el exploit. Funciona así:
Cuando una aplicación solicita permisos, la aplicación maliciosa cubrirá el cuadro de permisos de la aplicación original con los permisos que desee. Si un usuario toca “Permitir” en la superposición de la aplicación maliciosa, le otorgará el permiso que podría poner en riesgo los datos. en su dispositivo. Pero ellos no lo sabrán.
La gente de XDA hizo una prueba para comprobar cuáles de sus dispositivos son vulnerables al exploit de tapjacking. A continuación se muestran los resultados:
Nextbit Robin – Android 6.0.1 con parches de seguridad de junio – Vulnerable
Moto X Pure – Android 6.0 con parches de seguridad de mayo – Vulnerable
Honor 8 – Android 6.0.1 con parches de seguridad de julio – Vulnerable
Motorola G4 – Android 6.0.1 con parches de seguridad de mayo – Vulnerable
OnePlus 2 – Android 6.0.1 con parches de seguridad de junio – No vulnerable
Samsung Galaxy Note 7 – Android 6.0.1 con parches de seguridad de julio – No vulnerable
Google Nexus 6 – Android 6.0.1 con parches de seguridad de agosto – No vulnerable
Google Nexus 6P – Android 7.0 con parches de seguridad de agosto – No vulnerable
vía xda
La gente de XDA también creó APK para permitir a otros usuarios probar si sus dispositivos Android que se ejecutan en Android 6.0 / 6.0.1 Marshmallow son vulnerables al Tapjacking. Descargar las aplicaciones APK (Aplicaciones de ayuda del servicio Tapjacking y Tapjacking) desde los enlaces de descarga a continuación y siga las instrucciones para verificar la vulnerabilidad de Tapjacking en su dispositivo.
Descargar Tapjacking (.apk) Descargar el servicio Tapjacking (.apk)
Cómo verificar la vulnerabilidad de Tapjacking en dispositivos Android Marshmallow y Nougat
Instalar ambos marshmallow-tapjacking.apk y marshmallow-tapjacking-service.apk archivos en su dispositivo. Abierto Tapjacking aplicación desde el cajón de su aplicación. Toque en PRUEBA botón. Si ve un cuadro de texto flotando en la parte superior de la ventana de permisos que dice “Algún mensaje que cubre el mensaje de permiso”, luego su dispositivo es vulnerable a Tapjacking. Vea la captura de pantalla a continuación: Izquierda: Vulnerable | Derecha: no vulnerable al hacer clic Permitir mostrará todos tus contactos como debería. Pero si su dispositivo es vulnerable, no solo ha otorgado permiso de acceso a los contactos, sino también a otros permisos desconocidos para la aplicación maliciosa.
Si su dispositivo es vulnerable, asegúrese de pedirle a su fabricante que publique un parche de seguridad para corregir la vulnerabilidad de Tapjacking en su dispositivo.
Cómo protegerse de la vulnerabilidad de Tapjacking
Si su dispositivo ha dado positivo por la vulnerabilidad de Tapjacking, le recomendamos que no dé Permitir dibujar sobre otras aplicaciones permiso para aplicaciones en las que no confía plenamente. Este permiso es la única puerta de enlace para que las aplicaciones malintencionadas aprovechen este exploit.
Además, asegúrese siempre de que las aplicaciones que instale en su dispositivo provengan de un desarrollador y una fuente de confianza.
vía xda
