بدافزارها می‌توانند از سد جدیدترین اقدامات امنیتی اندروید 13 عبور کنند

ماه آگوست، گوگل رسماً اندروید ۱۳ را منتشر کرد و هکرها اکنون قصد دارند جدیدترین اقدامات امنیتی این شرکت را دور بزنند. تیمی از محققان امنیتی بدافزاری در حال پیشرفت را کشف کرده‌اند که از تکنیک جدیدی برای فرار از محدودیت‌های اخیر غول جست‌وجوی اینترنت در سیستم‌عامل موبایلی این شرکت بهره می‌برد که از مجوز اپلیکیشن‌ها برای دسترسی به خدمات مخصوص افراد کم‌توان بهره می‌برد. استفاده‌ی نادرست از این دسترسی‌ها شناسایی رمزهای عبور و داده‌های خصوصی را برای بدافزارها آسان‌تر می‌کند؛ به‌همین‌دلیل، یکی از پرکاربردترین دروازه‌ها برای مهاجمان در اندروید به‌حساب می‌آید.

برای اینکه درک کنیم بدافزارهای جدید برای دورزدن موانع امنیتی اندروید ۱۳ چگونه عمل می‌کنند، باید ابتدا اقدامات امنیتی جدید این سیستم‌عامل را بررسی کنیم. اندروید ۱۳ دیگر به برنامه‌های جانبی اجازه نمی‌دهد از سرویس‌های دسترسی‌پذیری مخصوص افراد کم‌توان استفاده کنند؛ مگر اینکه با بهره‌گرفتن از راهکاری پیچیده، مجوزهای لازم برای اپلیکیشن مذکور اعطا شود.

این ویژگی باعث محافظت دربرابر بدافزارهایی خواهد شد که امکان دارد کاربران بی‌تجربه به‌طور‌ناخواسته آن‌ها را از منابع خارج از فروشگاه گوگل‌پلی دانلود کرده باشند که ازجمله می‌توان به برخی برنامه‌های اسکن کدهای QR اشاره کرد. چنین اپلیکیشن‌هایی معمولاً از کاربران درخواست می‌کنند اجازه‌ی استفاده از سرویس‌های دسترسی‌پذیری را به آن‌ها اعطا کنند؛ اما این گزینه دیگر به‌آسانی برای این نوع بدافزارها دردسترس نیست.

با‌توجه‌به اینکه سرویس‌های دسترسی‌پذیری گزینه‌ای قانون برای برنامه‌هایی محسوب می‌شود که قصد دارند گوشی‌های هوشمند را برای افرادی که نیاز دارند دردسترس‌تر کنند، گوگل نمی‌خواهد استفاده از این خدمات را برای‌ همه‌ی برنامه‌ها ممنوع کند. اپلیکیشن‌های دانلود‌شده از گوگل‌پلی از این قاعده مستثنی هستند و همین‌ امر برای برنامه‌هایی نیز صادق است که ازطریق فروشگاه‌های اپلیکیشن غیررسمی بارگیری می‌شوند؛ ازجمله F-Droid یا فروشگاه اپلیکیشن آمازون.

درواقع این ویژگی برای برنامه‌های منتشر‌شده در فروشگاه‌های شخص‌ ثالث دردسترس است که ازطریق API نصب بسته‌ی مبتنی‌بر جلسه بهره می‌برند. گوگل برای این تصمیم‌گیری خود استدلال می‌کند که فروشگاه‌های دیگر معمولاً برنامه‌ها را پیش از ارائه به کاربران بررسی می‌کنند و درواقع، خط دفاعی در آن‌ها وجود دارد. این معافیت دقیقاً همان چیزی است که هکرها در آخرین اکسپلویت‌های خود از آن بهره می‌برند.

ThreatFabric دریافت که توسعه‌دهندگان بدافزار برخی از افراد گروه Hadoken هستند که قصد دارند روشی جدید را روی بستر بدافزارهای قدیمی توسعه دهند و از خدمات دسترسی‌پذیری آن‌ها برای به‌دست‌آوردن بینش درباره‌ی داده‌های شخصی هدف خود استفاده می‌کنند. ازآ‌ن‌جا‌که اعطای دسترسی به برنامه‌های جانبی در اندروید ۱۳ دشوارتر است، بدافزار جدید در دو بخش ارائه می‌شود و درواقع، برنامه‌ای است که کاربر آن را نصب می‌کند.

این اپلیکیشن مانند فروشگاه برنامه از همان API نصب بسته‌ی مبتنی‌بر جلسه بهره می‌برد تا قطعه کد واقعی بدافزار را بدون محدودیت در فعال‌سازی سرویس‌های دسترسی روی دستگاه هدف نصب کند. درحالی‌که بدافزار همچنان می‌تواند از کاربران درخواست کند که سرویس‌های دسترسی‌پذیری را برای برنامه‌های جانبی فعال سازد، راهکار استفاده‌شده برای انجام‌ این کار، بسیار جالب است. فریب‌دادن کاربران برای فعال‌کردن خدمات دسترسی با یک‌ ضربه، آسان‌تر از آن چیزی است که این حمله‌ی دوگانه‌ی جدید به آن دست می‌یابد.

ThreatFabric خاطرنشان می‌کند که بدافزار مذکور هنوز در مراحل اولیه‌ی توسعه‌ است و این شرکت نام آن را BugDrop تعیین کرده است. پیش‌ازاین، گروه Hadoken پروژه‌ی قطره‌چکانی دیگری به‌ نام Gymdrop را راه‌اندازی کرده بود که بستری برای توزیع بدافزارهای دیگر نیز فراهم می‌ساخت. این گروه بدافزار بانکی دیگری به‌ نام Xenomorph را نیز ساخته است که همگی از خدمات دسترسی‌پذیری اندروید بهره می‌برند. درنهایت، توصیه می‌شود تا آنجا که امکان دارد، اجازه‌ی استفاده از خدمات دسترسی‌پذیری را برای برنامه‌های مختلف و به‌خصوص آن‌هایی که از سازنده‌ی آن‌ها اطمینان ندارید، صادر نکنید.