{"id":9220,"date":"2017-07-05T02:25:53","date_gmt":"2017-07-04T23:25:53","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=9220"},"modified":"2019-11-22T07:25:50","modified_gmt":"2019-11-22T10:25:50","slug":"cloak-and-dagger-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cloak-and-dagger-attack\/9220\/","title":{"rendered":"Manto e Adaga: falha grave no Android"},"content":{"rendered":"

Pessoal, isso n\u00e3o \u00e9 um treinamento. Diz respeito a todas as vers\u00f5es do Android, e at\u00e9 o momento, o Google n\u00e3o corrigiu a vulnerabilidade. Por meio dela, cibercriminosos podem roubar dados incluindo senhas, instalar aplicativos com diversas permiss\u00f5es<\/a>, al\u00e9m de monitorar o que um usu\u00e1rio digita em um tablet ou smartphone. Repetimos: n\u00e3o \u00e9 uma simula\u00e7\u00e3o.
\nO ataque, conhecido como Manto e Adaga, foi demonstrado por colaboradores do Instituto de Tecnolgia da Georgia e da Universidade da Calif\u00f3rnia, Santa B\u00e1rbara. Os pesquisadores tentaram alertar o Google tr\u00eas vezes, mas a empresa disse que tudo estava bem. A \u00fanica op\u00e7\u00e3o restante para os envolvidos na pesquisa foi publicar suas descobertas criando um site:\u00a0cloak-and-dagger.org<\/a>.<\/p>\n

A ess\u00eancia do ataque Manto e Adaga<\/strong><\/h3>\n

Em suma, o ataque utiliza um aplicativo de Google Play. Embora o aplicativo n\u00e3o demande permiss\u00f5es espec\u00edficas do usu\u00e1rio, criminosos obt\u00e9m direitos que os permitem sobrepor a interface de outros aplicativos, bloqueando-os visualmente e acionando bot\u00f5es no lugar do usu\u00e1rio de modo que o dono do aparelho n\u00e3o note nada de errado.<\/p>\n

O ataque \u00e9 poss\u00edvel porque as pessoas n\u00e3o precisam permitir que aplicativos acessem fun\u00e7\u00f5es do SYSTEM_ALERT_WINDOW ao instal\u00e1-los da Google Play, e a ACCESSIBILITY_SERVICE (A11Y) \u00e9 f\u00e1cil de obter.<\/p>\n

Mas que permiss\u00f5es s\u00e3o essas? A primeira permite a um aplicativo sobrepor a interface de outros, uma esp\u00e9cie de tela falsa. J\u00e1 a segunda d\u00e1 acesso a diversas fun\u00e7\u00f5es \u2013 Servi\u00e7os de acessibilidade \u2013 para pessoas com defici\u00eancia visual ou auditiva.\u00a0A \u00faltima consegue fazer bastante coisa, at\u00e9 mesmo a\u00e7\u00f5es perigosas, ao permitir que a aplica\u00e7\u00e3o monitore o que est\u00e1 ocorrendo em outros aplicativos e interaja em nome do usu\u00e1rio.<\/p>\n

Mas o que pode dar errado?<\/p>\n

Uma camada invis\u00edvel<\/strong><\/h3>\n

Essencialmente, o ataque que usa a primeira permiss\u00e3o, SYSTEM_ALERT_WINDOW, exibe sua interface no lugar da do aplicativo sem que o usu\u00e1rio perceba. Al\u00e9m disso, as janelas que exibe podem ter quaisquer formas \u2013 incluindo buracos. Tamb\u00e9m podem registrar os toques ou deix\u00e1-los passar para o aplicativo embaixo.<\/p>\n

Por exemplo, desenvolvedores maliciosos podem criar camadas transparentes sobre o teclado virtual de um dispositivo Android, e capturar todos os toques na tela, o que permite a um hacker roubar informa\u00e7\u00f5es sens\u00edveis. Programas maliciosos desse tipo s\u00e3o normalmente chamados de Keylogger<\/a>. Esse \u00e9 um dos exemplos usados pelos pesquisadores para exemplificar o ataque.<\/p>\n