2019年末，安全研究人員發(fā)現(xiàn)了Strandhogg Android漏洞，惡意應(yīng)用程序可以利用該漏洞偽裝成目標(biāo)設(shè)備上安裝的任何其他應(yīng)用程序，向用戶顯示虛假界面，從而誘使他們泄露敏感信息。

近期，挪威網(wǎng)絡(luò)安全研究人員小組公布了影響Android操作系統(tǒng)的新的嚴重漏洞（CVE-2020-0096）的詳細信息，允許攻擊者進行更復(fù)雜的Strandhogg攻擊。被稱為“Strandhogg 2.0”的新漏洞會影響除最新版本的移動操作系統(tǒng)Android以外的所有Android設(shè)備，使數(shù)十億智能手機的陷入被攻擊的風(fēng)險中。

StrandHogg 1.0駐留在Android的多任務(wù)處理功能中，而新的Strandhogg 2.0漏洞基本上是特權(quán)提升漏洞，黑客能夠訪問幾乎所有應(yīng)用程序。當(dāng)用戶點擊合法應(yīng)用程序的圖標(biāo)時，利用Strandhogg漏洞的惡意軟件可以攔截并劫持此活動或任務(wù)，并向用戶顯示虛假界面。與StrandHogg 2.0不同于1.0的一次只能攻擊一個應(yīng)用程序不同，只需按一下按鈕，可同時動態(tài)攻擊設(shè)備上的幾乎所有應(yīng)用程序，無需為每個目標(biāo)設(shè)備進行預(yù)先配置。

StrandHogg缺陷潛在的危險令人擔(dān)憂，究其原因歸結(jié)以下幾點：

· 目標(biāo)用戶很難發(fā)現(xiàn)攻擊；

· 在劫持目標(biāo)設(shè)備上偽裝任何應(yīng)用程序的界面，無需進行配置；

· 可用于欺詐性地請求任何設(shè)備許可；

· 沒有root權(quán)限也可以利用；

· 適用于幾乎所有版本的Android；

· 不需要任何特殊權(quán)限即可在設(shè)備上運行。

除了通過假屏幕竊取登錄憑據(jù)之外，還可以冒充合法應(yīng)用誘使用戶授予敏感設(shè)備權(quán)限提升其功能。利用StrandHogg 2.0，一旦在設(shè)備上安裝了惡意應(yīng)用，攻擊者就可以訪問私人SMS消息和照片，竊取受害者的登錄憑據(jù)，跟蹤GPS移動，進行和/或記錄電話對話以及通過電話的間諜行為，通過攝像頭和麥克風(fēng)監(jiān)視用戶等。更可怕的是防病毒和安全掃描程序檢測難以發(fā)現(xiàn)利用StrandHogg 2.0的惡意軟件，而對最終用戶構(gòu)成重大危險。

安全研究人員于去年12月份向Google報告了該漏洞。之后，Google開發(fā)了一個補丁程序，并于2020年4月向下游智能手機制造公司共享該補丁，手機制造商將于本月開始向各自的用戶推出軟件更新。

盡管沒有有效且可靠的方法來阻止或檢測任務(wù)劫持攻擊，用戶可以通過關(guān)注StrandHogg 1.0時共享的差異來發(fā)現(xiàn)此類攻擊，例如：

· 已經(jīng)登錄的應(yīng)用要求重新登錄；

· 不包含應(yīng)用程序名稱的權(quán)限彈出窗口；

· 應(yīng)用程序多余的權(quán)限請求；

· 用戶界面中的按鈕和鏈接在被點擊時不起作用；

· 后退按鈕無法正常工作等。

我們身邊最多的莫過于安卓系統(tǒng)的設(shè)備，安卓出現(xiàn)致命性的漏洞時，動輒影響百萬人，甚至十幾億人口。

來源：祺印說信安

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明