Subiektywnie o…

Jak zhakować Androida za pomocą Google Voice Search

Kreatywność hakerów nie zna granic. Nie dawno głośno było o tym, że Android nie szyfruje danych umieszczonych w telefonach i można je dość łatwo odzyskać a dzisiaj, mój ulubiony portal o (nie)bezpieczeństwie opublikował wpis obrazujący jak za pomocą głosowego asystenta od Google można wydobyć pewne dane z naszego telefonu. Jak to wygląda? Ściągamy sobie niewielką aplikację, która podczas instalacji nie prosi o żadne podejrzane uprawnienia takie jak dostęp do wiadomości SMS, książki telefonicznej czy wykonywania połączeń. Mało tego, nie prosi o żadne uprawnienia.

Zaraz po instalacji z pozoru niewinnej aplikacji zaczyna ona bez naszej wiedzy wykradać nasze dane czy też nawiązywać połączenia np. na specjalne numery o podwyższonym koszcie za minutę rozmowy. Jak dochodzi do takiego „ataku”? Wszystko za sprawą Google Voice Search i jego API (tzw. Intent) i odtwarza plik dźwiękowy zawierający konkretne instrukcje np:

Wykonywanie połączeń telefonicznych (można wykorzystać do “podsłuchu”).
Fałszowanie treści SMS-ów i E-maili (nie jest to spoofing — e-maile i SMS-y rzeczywiście wyjdą z prawdziwego konta/numeru ofiary).

Fałszowanie e-maila:
Email to [nazwa_kontaktu], subject “meeting cancel”, message
“tomorrow’s meeting has been canceled”.

Zapisanie na płatną usługę SMS:
Send SMS to number 1234 “START XYZ”.

Odczytać prywatne dane, np.: kalendarz:
“What is my next meeting?” ⇒“Your next calendar entry is
tomorrow 10 AM. The tile is “Meet with boss”.”

adres IP:
“What is my IP address?” ⇒ “Your public IP address is
111.222.111.222.”

lokalizację GPS:
“Where is my location?” ⇒ “Here is a map of Brooklyn
District.”

źródło: niebezpiecznik.pl

Pomysł jest niezwykle prosty i daje dostęp do wielu danych których odczytanie nie stanowi problemu gdyż wszystko odbywa się za pomocą systemowej aplikacji która posiada fabryczne uprawnienia do wykonywania pewnych czynności na naszym telefonie. I właśnie dla tego taki atak nie jest wykrywany przez popularne programy antywirusowe dostępne na platformę android. Dla tego warto zastanowić się jakie aplikacje instalujemy w naszych urządzeniach i jeśli jakakolwiek z nich wzbudzi nasze podejrzenia warto zrezygnować z jej instalacji.