Výzkumníci sestavili experimentální aplikaci, která krade osobní data

Ohrožena jsou hesla, čísla kreditních karet a další údaje. Experimentální malware nevyužívá zranitelnost, ale vlastností systému.

Výzkumníci sestavili experimentální aplikaci, která krade osobní data


Výkumníci z Univerzity v Michiganu a z Kalifornské univerzity demonstrovali na bezpečnostní konferenci USENIX aplikaci pro Android, která krade osobní data jako login do služby Google Mail, číslo sociálního zabezpečení z aplikace H&R Block nebo čísla kreditních karet z aplikace NewEgg.

Podstatné je, že experimentální malware nevyužívá nějaké zranitelnosti systému, ale využívá vlastností, které má grafické uživatelské rozhraní (GUI). I když nebezpečné vlastnosti byly demonstrovány na aplikaci pro Android, teoreticky by malware mohl fungovat analogicky i na jiných operačních systémech, které mají stejný přístup ke konstrukci GUI, tedy i na iOS, Mac OS X i Windows. To je samozřejmě příčinou hlavního problému: nedostatek je součástí designu systému a nelze je jednoduše opravit. Bylo by nutné redesignovat GUI, a to by mohlo přinést problémy s kompatibilitou stávajících aplikací. V současné době totiž operační systém může používat pro obrazová data i pro aplikace stejnou paměť, to znamená, že dříve nebo později je možné z uvolněné části paměti načíst a zrekronstruovat obsah obrazovky z jiné aplikace. Tak je možné vytipovat kritický okamžik při používání nějaké aplikace, jako je třeba zadání hesla, a podvrhnout falešný formulář pro login.

Demonstrovaná aplikace běžela na pozadí a nevyžadovala žádné specifické oprávnění - stačilo pouze povolit přístup k Internetu, a to je pro aplikace běžný požadavek, který uživatelé obvykle schválí.

Podívat se můžete na demonstrační video, ktreré ukazuje, jak systém funguje.

Zdroj: IDG News Service

Čtěte také:
→ 73% Čechů se obává rostoucích kybernetických útoků
Škodlivý software směřuje nejslabší místa: na mobilní zařízení s přístupem k internetu. Většina uživatelů na to není připravena.
→ Bezpečnostní rizika: Co radí CIO?
Bezpečnost firemního IT je ošemetná záležitost. Příliš přísná bezpečnostní politika, nebo naopak velmi uvolněná, může firmu zničit. Klíčem je nalézt správnou rovnováhu.

G+


Úvodní foto: sites.google.com/site/uistateinferenceattack/ui-state-inference-attack




Komentáře