Хакер #305. Многошаговые SQL-инъекции
В настоящее время одна из главных проблем Android, которую активно эксплуатируют авторы всевозможной малвари, это Accessibility Service, то есть службы специальных возможностей, призванные облегчить работу с устройствами для людей, чьи возможности так или иначе ограничены. К примеру, эксплуатация Accessibility Service лежит в основе известной техники атак «Плащ и кинжал», а также со специальными возможностями тесно связана методика атак Toast Overlay.
Напомню, что получив разрешение на использование Accessibility Service, вредоносное приложение фактически получает возможность перекрывать окна других приложений легитимным оверлеем, управлять устройством посредством голосовых команд, а также прослушивать, а не просматривать контент. Специалисты, первыми описавшие методику «Плащ и кинжал», отмечали, что атака может развиваться в сторону кликджекинга (clickjacking), фишинга, перехвата нажатий на клавиши, незаметной установки дополнительных приложений, которые фактически будут работать «в режиме Бога» (то есть получат максимальные привилегии). Также злоумышленники смогут тайно разблокировать устройство и выполнять произвольные действия, при этом держа экран отключенным.
Как оказалось, еще на прошлой неделе представители Google разослали Android-разработчикам письма, в которых предупредили, что в скором времени приложения, использующие Accessibility Service, будут удалены из Google Play, если только специальные функции действительно не используются для людей с ограниченными возможностями. Копия письма была опубликована на Reddit, и ее можно увидеть ниже.
Фактически теперь разработчиков обяжут не только сообщать пользователям о том, зачем именно приложение запрашивает доступ к Accessibility Service, но даже на странице приложения в Google Play появится специальная пометка о том, что этот продукт использует Accessibility services.
Разработчикам дали 30 дней, чтобы подготовиться к грядущим изменениям и привести свои приложения в соответствие с новыми правилами. Тех, кто по какой-либо причине не может обновить свои решения, вежливо просят удалить их Google Play вовсе. Судя по всему, по истечении этого срока, инженеры Google самостоятельно зачистят каталог приложений от сотен, если не тысяч программ, которые не соответствуют новым правилам.
Такое нововведение определенно сократит количество малвари в Google Play, однако это никак не повлияет на приложения, распространяющиеся через сторонние, неофициальные каталоги.