Tvoj Android môže potichu odosielať SMS správy a obsah notifikácií bez toho, aby si o tom vedel. Umožňuje toto povolenie
Služba NotificationListenerService v Androide môže umožniť aplikáciám tichý zber citlivých údajov z notifikácií bez toho, aby o tom používateľ vedel.
V rámci výskumu bezpečnosti operačného systému Android sa ukázalo, že systémová služba NotificationListenerService (NLS) predstavuje významný vektor zneužitia. Prekvapivo však býva často prehliadaná. Hoci NLS nevyžaduje oprávnenia typu root ani citlivé systémové povolenia, je možné ju zneužiť na tichý zber dát a ich odosielanie bez vedomia používateľa. O zraniteľnosti informoval server medium.org.
Princíp fungovania a slabiny služby
NotificationListenerService je systémové API, ktoré umožňuje aplikáciám pristupovať k notifikáciám zobrazovaným v systéme. Pôvodne bola určená pre aplikácie typu „smartwatch companion“ alebo na správu upozornení. Umožňuje čítanie obsahu notifikácií, ich odstraňovanie a interakciu s nimi. Pojem „smartwatch companion“ označuje sprievodnú aplikáciu pre inteligentné hodinky, ktorá zabezpečuje synchronizáciu údajov, ciferníkov a často aj internetové prepojenie medzi mobilným zariadením a hodinkami.
Ak používateľ raz udelí aplikácii prístup k notifikáciám (čo Android považuje za dôveryhodné oprávnenie), aplikácia získa trvalý komunikačný kanál so systémom, ktorý sa automaticky obnoví po každom reštarte zariadenia. Problémom je, že služba sa aktivuje aj bez toho, aby bola spustená hlavná aktivita aplikácie.
Táto vlastnosť vytvára ideálne podmienky pre malvér. Ten nepotrebuje byť viditeľný, nevyžaduje oprávnenia ako RECEIVE_BOOT_COMPLETED a napriek tomu môže fungovať ako rezidentný proces na pozadí.
Proof-of-Concept a správanie na rôznych verziách Androidu
Testovanie prebehlo na verziách Androidu 10 až 13. Vytvorená PoC aplikácia využíva výhradne NLS a nepožaduje žiadne ďalšie oprávnenia. Po reštarte zariadenia sa automaticky aktivuje a zostáva skrytá pred bežným používateľom. Nemá používateľské rozhranie a periodicky odosiela zhromaždené údaje na vzdialený server, napríklad cez HTTP POST.
Neprehliadni
Na rozdiel od tradičného malvéru, ktorý je obmedzovaný režimom Doze (ide režim, v ktorom sú aplikácie uspané) alebo pravidlami foreground služieb, NLS predstavuje výnimku. V praxi to znamená, že dokáže spoľahlivo bežať na pozadí bez toho, aby používateľa akýmkoľvek spôsobom upozornila, a to aj bez aktívnej aplikácie.
Bezpečnostné dôsledky
Možnosti zneužitia sú rozsiahle. Útočník môže čítať obsah notifikácií, vrátane SMS, WhatsApp správ či e-mailov, ticho extrahovať OTP kódy alebo prihlasovacie upozornenia. Dokáže tiež simulovať interakcie, ako napríklad stlačenie tlačidla v notifikácii, odosielať ich obsah na vzdialený server a využiť službu ako vstupný bod pre ďalší škodlivý kód. V kombinácii s technikami ako dynamické načítavanie tried cez DexClassLoader môže ísť o plne modulárny malvér.
Používatelia by preto mali dôkladne zvážiť, ktorým aplikáciám udelia prístup k notifikáciám. Odporúča sa pravidelná kontrola oprávnení, sledovanie podozrivého správania (napr. nadmerná dátová prevádzka alebo rýchle vybíjanie batérie) a zvýšená opatrnosť pri inštalovaní aplikácií.
Vývojári bezpečnostných riešení by mali počítať s tým, že NLS aplikácie môžu fungovať bez používateľského rozhrania a štandardných stôp v systémových logoch. Na ich odhalenie je vhodná kombinácia behaviorálnej analýzy a monitoringu sieťovej prevádzky na úrovni firewallu alebo riešení typu Mobile Threat Defense. Google už bol na túto zraniteľnosť upozornený.
Komentáre