Palo Alto Networks的手机安全专家详述了一种很对安卓设备的新型攻击，使用“Toast”(Android系统中用来显示信息的一种机制)信息帮助恶意软件获取管理员权限或访问安卓“辅助功能”(Accessibility)。

过去几年，大多数臭名昭著的安卓软件曾使用同样的技俩完全控制用户设备，其主要依靠恶意软件在应用程序安装过程中愚弄用户授权(通过“Draw on top”权限)在其它应用程序上显示内容。

一旦恶意应用程序获取了这项权限，恶意应用便能在用户屏幕上显示入侵弹出窗口，要求用户确认信息或采取某些措施。

现实中，恶意应用会要求访问安卓辅助功能，但会使用“Draw on top”在“激活”按钮上面显示虚假信息。这种技术至少已经被攻击者用来实施攻击长达两年，这是研究人员首次对这种被命名为“斗篷与匕首”(Cloak & Dagger)攻击进行了深度剖析。

“斗篷与匕首”攻击新花样

Palo Alto专家表示，研究的目的是为了调查实施“斗篷和匕首”攻击的其它方式。

安卓操作系统和许多应用程序使用Toast信息(显示在屏幕底部的弹出窗口)显示提示信息，例如在Gmail确认发送信息或用户连接到无线网络时的提示信息。

Palo Alto研究人员指出，攻击者能使用Toast信息执行“斗篷和匕首”攻击。因为Toast信息有利于攻击者，这些信息会显示在任何应用程序上面，而恶意应用程序在安装过程中无需取得“Draw on top”权限。

攻击者只需欺骗用户在手机上安装恶意应用，之后请求获得管理员权限访问“辅助功能”，用自定义Toast信息覆盖确认按钮或其它描述文本。

用户的界面不会显示“激活”按钮，攻击者可使用Toast信息使“激活”按钮显示成“继续”。

安卓设备现新型Toast覆盖攻击滥用合法权限接管设备-E安全

此外，研究人员表示，攻击者可以让Toast信息循环显示，必要时覆盖合法内容。

Palo Alto Network网络安全与威胁情报资深经理克里斯多夫·巴德表示，Toast攻击的利用步骤不多，还能被非Google Play的应用程序利用，这样一来，利用该漏洞实施攻击的可行性显而易见。

通过设备管理员实施攻击

借助Toast覆盖攻击，安装的恶意应用程序可以诱骗用户交出设备管理员权限，从而发起破坏性攻击，包括：

锁屏

重设PIN码

清除设备数据

防止用户卸载应用

受影响的系统版本

Palo Alto表示，除了最新版本(Android 8.0 Oreo)均易遭受Toast覆盖攻击。

研究人员5月底向谷歌报告了该漏洞，谷歌给出的回应是要求使用Toast信息的应用程序请求“Draw on top”权限。

这个漏洞编号为CVE-2017-0752，谷歌周二通过2017年9月安卓安全公告发布了补丁。安装了最新安全补丁的安卓OS版本不会遭遇Toast覆盖攻击。