Onderzoekers hebben een een slimme manier onthuld om phishingaanvallen op verschillende populaire Android apps, zoals die van Gmail, Amazon en de Amerikaanse CHASE Bank, uit te voeren en vervolgens inloggegevens en andere informatie van gebruikers zo goed als onopgemerkt te stelen.

De aanval is ontwikkeld door onderzoekers aan de Universiteit van Californië en wordt vandaag tijdens het USENIX Security Symposium in San Diego gepresenteerd, hoewel deze videodemonstraties al online staan. Om de aanval uit te kunnen voeren moet een gebruiker eerst een kwaadaardige app downloaden die onschuldig lijkt, bijvoorbeeld een achtergrond voor de telefoon. Via de app kunnen de onderzoekers een nieuwe "side channel-aanval" uitvoeren, die zich op het gedeelde geheugen van een proces richt.

Het gedeelde geheugen is een eigenschap van het besturingssysteem waardoor processen efficiënter data kunnen delen. Toegang tot dit geheugen vereist geen enkele rechten. De app kan vervolgens veranderingen in het gedeelde geheugen monitoren en vervolgens veranderingen in bepaalde gebeurtenissen correleren, zoals iemand die bijvoorbeeld wil inloggen op Gmail of zijn bank app. Zodoende kunnen de onderzoekers vrij nauwkeurig bijhouden wat de gebruiker in de aangevallen app aan het doen is.

Phishing

Op het moment dat de gebruiker op bijvoorbeeld Gmail wil inloggen of bij webwinkel Newegg wil afrekenen toont de kwaadaardige app een nagemaakt inlogvenster waar de gebruiker zijn gegevens invult. Deze gegevens stuurt de app vervolgens naar de aanvaller. Om de aanval te laten slagen moet die op precies het juiste moment plaatsvinden als de gebruiker wil inloggen of afrekenen en mag de aanval niet opvallen.

De onderzoekers stellen dat er in het verleden soortgelijke phishingaanvallen zijn gedemonstreerd, maar dat die niet zo geraffineerd als de nieuwe aanval werken. Bij veel apps is het namelijk niet meteen nodig om in te loggen als de app is gestart, terwijl er bij de eerdere aanvallen wel meteen een inlogvenster verscheen. Daarnaast vereisen deze oude phishingaanvallen verdachte permissies. De nu ontwikkelde aanval heeft geen last van deze beperkingen.

Timing

Het timen van de aanval is echter een belangrijk onderdeel voor het succes ervan. De onderzoekers wisten uiteindelijk verschillende succesratio bij een aantal populaire apps te halen, zoals Gmail (92%), H&R Block (92%), Newegg (86%), WebMD (85%), CHASE Bank (83%), Hotels.com (83%) en Amazon (48%). Amazon was lastiger aan te vallen omdat de app toestaat dat de ene activiteit in bijna elke andere activiteit overgaat, wat het moeilijk maakt om te raden in welke activiteit de app zich bevindt.

Volgens de onderzoekers spelen de problemen niet alleen bij Android, maar ook bij andere mobiele besturingssystemen zoals iOS en Windows. Gebruikers die zich tegen dit soort aanvallen willen beschermen krijgen van onderzoeker en hoogleraar Zhiyun Qian het advies om geen "onbetrouwbare apps" te installeren. Daarnaast worden de ontwikkelaars van mobiele besturingssystemen opgeroepen om een betere afweging tussen bruikbaarheid en veiligheid te maken en side channel-aanvallen te elimineren.