Si chiama Cloak & Dagger ed è una nuova vulnerabilità, scoperta da alcuni ricercatori del Georgia Institute of Technology, che colpisce tutte le versioni di Android, inclusa la più recente versione 7.1.2.

Utilizzando due permessi, SYSTEM_ALERT_WINDOW e BIND_ACCESSIBILITY_SERVICE, che in caso di applicazioni installate dal Play Store non devono essere esplicitamente concessi, è possibile per un attaccante nascondere comportamenti malevoli in schermate apparentemente innocue.

Tra i possibili scenari di attacco troviamo la registrazione dei tasti digitati, clickjacking evoluto, installazione di applicazioni con permessi illimitati, sblocco dello smartphone ed esecuzione arbitraria di applicazioni. In sostanza è possibile per un’applicazione disegnare alcuni elementi identici a quelli originali e sovrapporli catturando, ad esempio, password o ottenendo dei click in maniera nascosta.

A seguire trovate un paio di filmati che vi spiegano nel dettaglio alcune possibilità offerte dalla vulnerabilità. Attualmente l’unico modo per essere al sicuro è quella di disabilitare il permesso di scrittura sulle altre applicazioni, che in Android stock si raggiunge da Impostazioni-Applicazioni-Simbolo Ingranaggio-Accesso Speciale-Disegna sopra altre applicazioni.