Vyana Texnologiya Universiteti tərəfindən

Gaby Clark tərəfindən redaktə edilmişdir , Andrew Zinin tərəfindən nəzərdən keçirilmişdir

 Redaktorların qeydləriZərərsiz görünən bir oyun təhlükəsizliyi poza bilər. Kredit: TU Wien

Cib telefonumuzun ekranlarında gördüklərimiz həmişə əslində işlətdiyimiz şey deyil. Bunu TU Wien-də (Vyana, Avstriya) Philipp Beer, Sebastian Roth, Marco Squarcina və Martina Lindorferdən ibarət tədqiqat qrupu nümayiş etdirib.

Android telefonlarında görünməz proqram ön planda aktiv ola bilər və bu potensial təhlükəsizlik problemidir. İstifadəçilər daha sonra görə bilmədikləri proqramdan istifadə edirlər və aldanaraq zərərli proqrama müəyyən hüquqlar vermək və ya hətta məlumatları silmək kimi arzuolunmaz hərəkətləri yerinə yetirirlər.

Tədqiqat qrupu artıq Android təhlükəsizlik komandası ilə əlaqə saxlayır. Yeni aşkar edilmiş təhlükəsizlik zəifliyi 13-15 avqust tarixlərində Sietldə (ABŞ) keçirilən dünyanın aparıcı təhlükəsizlik konfransı USENIX- də təqdim olunacaq.

Mənfi nəticələrlə zərərsiz oyun

Smartfonda eyni vaxtda bir neçə proqram aktiv ola bilər. Normalda onlardan biri ön planda görünür və istifadəçi ekrana toxunduqda onunla qarşılıqlı əlaqədə olur. “Lakin, proqramlar digər proqramları da işə sala və yavaş sönənlər və ya sürüşmələr kimi animasiyalardan istifadə edə bilər” deyə TU Wien (Məntiq və Hesablama İnstitutu) Təhlükəsizlik və Məxfilik Qrupundan Beer izah edir. “Bu, tam olaraq istismar edilə bilən şeydir.”

Fırıldaqçı proqram fərqinə varmadan başqa proqramı işə sala bilər, lakin onu şəffaf şəkildə göstərə bilər. O, indi ön plandadır və barmağın bir toxunuşu ilə idarə oluna bilər, lakin o, görünməz olaraq qalır.

“Biz bunu sadə bir oyun yaratmaqla sınaqdan keçirdik ki, burada ekrandakı kiçik səhvlərə toxunaraq xal toplayırsan”, – Beer deyir. “Ancaq oyun daha sonra brauzer kimi başqa bir proqramı açır. Biz indi oyundakı səhvlərimizi istədiyimiz yerə yerləşdirə bilərik ki, ekranda dəqiq mövqe tapılar. Özünüzü hələ də səhv oyununu oynadığınız kimi hiss edirsiniz, amma əslində indi yeni işə salınmış proqramı işlədirsiniz və onu heç görə də bilmirsiniz.”

Tədqiqat qrupuna iyirmi test subyekti səhv oyununu sınaqdan keçirdi və onlar həqiqətən də bu yolla fərq edilmədən müxtəlif icazələr əldə edə bildilər – məsələn, smartfonun kamerasına giriş. “Nəzəri olaraq, siz bu üsuldan bank proqramını işə salmaq və ya mobil telefonunuzdakı bütün məlumatları silmək üçün də istifadə edə bilərsiniz” dedi Beer.

Hələlik cinayət törədən yoxdur

Beləliklə, TU Wien komandası hücumun işlədiyini sübut etdi. Amma əslində istifadə olunurmu? “Biz Play Store-dan 100.000-ə yaxın tətbiqi araşdırdıq və bu zəiflikdən istifadə edən heç bir tapmadıq” dedi Beer. “Buna görə də ümid edirik ki, zəiflik hələ heç bir real ziyan vurmayıb – lakin əlbəttə ki, problemi həll etmək lazımdır.”

Komanda artıq Android inkişaf komandası ilə əlaqə saxlayıb; texniki baxımdan, boşluğu bağlamaq mümkün olardı. Firefox və Google Chrome istehsalçıları ilə də əlaqə saxlanılıb – hər ikisi artıq brauzerləri üçün boşluqları bağlayıblar. Təhlükəsizliyi artırmaq üçün xüsusi olaraq hazırlanmış Android əsaslı əməliyyat sistemi olan GrapheneOS də problemi artıq həll edib.

“Ümumi bir qayda olaraq, heç vaxt etibarlı mənbədən gəlməyən proqramları quraşdırmamalısınız” deyir Beer. “Kamera və ya mikrofona daxil olduqda, bu, tez-tez status çubuğundakı nişanlarla göstərilir, buna görə də bunlara diqqət yetirməlisiniz.”

Təhlükəsiz tərəfdə olmaq istəyirsinizsə, proqram animasiyalarını tamamilə söndürə bilərsiniz (“Əlçatanlıq”, “Rəng və hərəkət” altındakı parametrlərdə).

Əlavə məlumat: Komanda taptrap.click/ saytında nümayiş videosu və kağız da daxil olmaqla əlavə materialları dərc edib.Vyana Texnologiya Universiteti tərəfindən təmin edilmişdir