На конференции RSA, проходящей в Сан-Франциско, эксперты Skycure продемонстрировали обход защитного сервиса Android for Work, предназначенного для разделения корпоративного и персонального пространств на мобильном устройстве по принципу песочницы.
Платформу, известную как Android for Work, Google теперь называет «рабочие функции в Android».
Эта служба управления мобильной инфраструктурой предприятия (EMM) позволяет защитить корпоративные данные и необходимые для работы приложения на Android-устройствах служащих, а также принудительно активировать защитные механизмы этой ОС, такие как подтверждение начального запуска. Для PoC-демонстрации обхода многопользовательского фреймворка исследователи использовали два разных вредоносных приложения. Если пользователя удастся убедить загрузить их в личный профиль, атакующий получит повышенные привилегии для работы со специальными возможностями (Accessibility Services) и нотификациями в рамках и рабочего, и персонального профилей.
По свидетельству исследователей, атаку на Android for Work, которую они назвали app-in-the-middle, «приложение посередине», можно осуществить двумя способами. В первом случае создается фиктивное приложение (эксперты именуют его NotiMirror), которое предлагает пользователю отображать нотификации на рабочем столе. В ходе установки NotiMirror запрашивает разрешение на управление функцией мобильных уведомлений и, получив это разрешение, обретает возможность отсылать на сторонний сервер все принимаемые устройством нотификации, в том числе SMS-сообщения.
«Поскольку доступ к Notifications – привилегия уровня устройства, вредоносное приложение в персональном профиле получает разрешение на просмотр и совершение действий в отношении всех нотификаций, в том числе рабочих, так как это предусмотрено проектом, – пишет в блоге Skycure Яир Амит (Yair Amit), соучредитель и технический директор компании. – Эти нотификации несут конфиденциальную информацию: запланированные совещания, email-сообщения и прочее, и она видна также ‘персональному’ вредоносному приложению».
Такой сценарий атаки позволит также перехватывать нотификации, присылаемые в виде SMS в ответ на запрос о смене пароля, и, таким образом, обеспечит злоумышленнику доступ к корпоративным ресурсам – к Salesforce или Slack. «Это составляет серьезное препятствие использованию Android for Work в качестве надежной песочницы, повышающей производительность мобильных служащих, так как EMM-решения не имеют механизма для распознавания таких атак или защиты от них, – предупреждает Амит. – Злоумышленник сможет таким образом перехватывать коды двухфакторной аутентификации, и администратор даже не догадается о краже».
Второй способ атаки app-in-the-middle предполагает использование Accessibility Service, которая, в частности, отвечает за звуковое воспроизведение текста, отображаемого на экране (это удобно для пользователей с плохим зрением). Для выполнения подобных функций Accessibility должна иметь доступ на чтение и запись ко всему контенту и средствам управления на устройстве.
Для демонстрации второй PoC-атаки исследователи создали другое приложение, StickiWiki, которое запрашивает разрешение на мониторинг контента, отображаемого на экране. Это ему нужно якобы для того, чтобы обеспечить возможность выполнения shortcut-команды @Wiki:, вставляющей сокращенные записи из Википедии в любое Android-приложение (чат-клиент, email).
Хотя StickiWiki устанавливается в персональный профиль, это приложение мониторит весь контент, отображаемый на Android-устройстве. Когда пользователь заходит в рабочий профиль и просматривает защищенный контент, автор атаки пускает в ход StickiWiki для копирования текста с экрана и отправки его на удаленный сервер.
«Это приложение посередине размещено в персональном профиле, однако оно эффективно крадет корпоративные данные, пока пользователь с ними взаимодействует, – поясняет Амит. – Персональный профиль нельзя мониторить или контролировать из рабочего профиля, поэтому даже в том случае, если IT-администратор попытается принудительно обезопасить рабочий профиль (к примеру, ограничением настроек или использованием белого списка разрешенных приложений), он не сможет обнаружить раскрытие конфиденциальной информации, использующей Accessibility Service, так как персональный профиль ему недоступен».
По словам исследователя, функции Accessibility Services доступны лишь некоторым приложениям; доступ в данном случае контролируется с помощью белого списка, содержащего имена пакетов. Как оказалось, это ограничение легко обойти: Амит и его коллега присвоили вредоносному приложению имя одной из легитимных программ, указанных в белом списке.
Результаты исследования Skycure передала в Google и получила следующий ответ: поскольку приложения загружаются не из Google Play, а пользователь должен сам выдавать им чрезмерные разрешения, подобные атаки не могут составить серьезной угрозы многопользовательскому фреймворку Android, помогающему решать рабочие задачи на личном устройстве.
«Приложения, созданные в ходе исследования, показали наличие реальных рисков, – заявил Амит. – Приложения, использующие разрешения Accessibility и Notification, имеются в избытке как на Google Play, так и в других источниках, хотя большинство их использует с благими намерениями. Из-за недостатков, выявленных в ходе исследования, они по сути составляют угрозу большинству конфиденциальных корпоративных данных, хранящихся в бизнес-профилях Android».
