{"id":3248,"date":"2017-06-06T02:23:23","date_gmt":"2017-06-06T06:23:23","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=3248"},"modified":"2019-11-15T14:50:41","modified_gmt":"2019-11-15T11:50:41","slug":"cloak-and-dagger-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/cloak-and-dagger-attack\/3248\/","title":{"rendered":"Cloak and Dagger: Android’deki b\u00fcy\u00fck a\u00e7\u0131k"},"content":{"rendered":"

Android kullananlar\u0131n dikkatine, bu ciddi bir olay. T\u00fcm Android s\u00fcr\u00fcmleri i\u00e7in bu tehdit ge\u00e7erlidir ve biz bu yaz\u0131y\u0131 payla\u015ft\u0131\u011f\u0131m\u0131z s\u0131rada Google hen\u00fcz bir yama yay\u0131nlamad\u0131. Bu a\u00e7\u0131k kullan\u0131larak, zararl\u0131 yaz\u0131l\u0131mlar parolalar\u0131n\u0131z dahil bilgilerinizi \u00e7alabilir, t\u00fcm izinlere sahip uygulamalar y\u00fckleyebilir<\/a>, kullan\u0131c\u0131lar\u0131n klavyede ne yazd\u0131\u011f\u0131n\u0131 g\u00f6rebilirler. Tekrar ediyoruz, durum \u00e7ok ciddi.<\/p>\n

Bu sald\u0131r\u0131ya Cloak and Dagger (Pelerin ve Han\u00e7er) deniyor. Sald\u0131r\u0131 G\u00fcrcistan Teknoloji Enstit\u00fcs\u00fc ve Kaliforniya \u00dcniversitesi, Santa Barbara taraf\u0131ndan kan\u0131tland\u0131. Bu sorun Google\u2019a \u00fc\u00e7 defa bildirildi. Ancak her seferinde Google, \u201cHaberimiz var, \u00fczerinde \u00e7al\u0131\u015f\u0131yoruz.\u201d Dedi. Ara\u015ft\u0131rmac\u0131lar\u0131n da bu sorunu kullan\u0131c\u0131lara bildirmekten ba\u015fka \u00e7aresi kalmad\u0131: Hatta bu sebeple cloak-and-dagger.org isimli internet sitesi dahi kurdular.<\/p>\n

Cloak and Dagger sald\u0131r\u0131s\u0131n\u0131n temeli<\/h2>\n

K\u0131saca, sald\u0131r\u0131 Google Play\u2019den bir uygulama kullan\u0131yor. \u00dcstelik uygulama kullan\u0131c\u0131dan \u00f6zel olarak bir izin de istemiyor. Sald\u0131rganlar uygulaman\u0131n \u00fczerine uygulama a\u00e7arak, sizin a\u00e7t\u0131\u011f\u0131n\u0131z uygulaman\u0131n ara y\u00fcz\u00fcne eri\u015fmenizi engelliyorlar. Kullan\u0131c\u0131lar\u0131n yerine bas\u0131lan tu\u015flara bast\u0131klar\u0131 i\u00e7in, kullan\u0131c\u0131lar bu durumdan \u015f\u00fcphelenmiyor.<\/p>\n

Bu sald\u0131r\u0131 gayet m\u00fcmk\u00fcn. \u00c7\u00fcnk\u00fc kullan\u0131c\u0131lar uygulama indirirken, programa SYSTEM_ALERT_WINDOW yetkisi verme yetkisine sahip de\u011fil ve ACCESSIBILITY_SERVICE (A11Y) iznini almak gayet kolay.<\/p>\n

Bunlar nas\u0131l izinler? \u0130lk izin uygulaman\u0131n \u00fczerine ba\u015fka uygulama a\u00e7mak i\u00e7in kullan\u0131l\u0131yor. Di\u011fer izin ise baz\u0131 fonksiyonlara eri\u015fim sa\u011flar. \u201cAccessibility Service\u201d g\u00f6rme veya duyma sorunlar\u0131 olan kullan\u0131c\u0131lar\u0131n i\u015fini kolayla\u015ft\u0131rmak i\u00e7in kullan\u0131lan bir izindir. Ancak daha sonra daha farkl\u0131, hatta daha tehlikeli \u015feyler i\u00e7in kullan\u0131labilir. Bir cihazda di\u011fer uygulamalarda neler oldu\u011funu izlenmesine olanak sa\u011flamak ve kullan\u0131c\u0131 yerine uygulamalarla etkile\u015fime girmek.<\/p>\n

K\u00f6t\u00fc ne olabilir ki?<\/p>\n

G\u00f6r\u00fcnmez katman<\/h2>\n

Temel olarak, sald\u0131r\u0131 ilk izni kullan\u0131yor, SYSTEM_ALERT_WONDOW. Uygulama, kullan\u0131c\u0131n\u0131n onay\u0131 olmayan di\u011fer uygulaman\u0131n \u00fczerine a\u00e7\u0131l\u0131yor. Dahas\u0131, bu pencere herhangi bir bi\u00e7imde olabilir \u2013 hatta delikleri olan bir \u015fekil bile olabilir. B\u00f6ylelikle telefon ekran\u0131na yap\u0131lan dokunu\u015flar\u0131 kaydedebilir veya \u00fczerine a\u00e7\u0131lan uygulamaya verilerin girilmesine izin verilir.<\/p>\n

\u00d6rne\u011fin, zararl\u0131 yaz\u0131l\u0131m geli\u015ftiriciler g\u00f6r\u00fcnmez bir aray\u00fcz tasarlayarak klavyenin \u00fczerine koyabilirler. B\u00f6ylelikle telefonda bas\u0131lan her noktay\u0131 kaydedebilir, daha sonra bas\u0131lan noktan\u0131n koordinatlar\u0131na bakarak hangi harflere bas\u0131ld\u0131\u011f\u0131n\u0131 \u00f6\u011frenebilirler. Bu tarz programlara keylogger<\/a> deniyor.<\/p>\n