2019年末，安全研究人員發(fā)現(xiàn)了Strandhogg Android漏洞，惡意應(yīng)用程序可以利用該漏洞偽裝成目標(biāo)設(shè)備上安裝的任何其他應(yīng)用程序，向用戶顯示虛假界面，從而誘使他們泄露敏感信息。

近期，挪威網(wǎng)絡(luò)安全研究人員小組公布了影響Android操作系統(tǒng)的新的嚴(yán)重漏洞（CVE-2020-0096）的詳細(xì)信息，允許攻擊者進(jìn)行更復(fù)雜的Strandhogg攻擊。被稱為“Strandhogg 2.0”的新漏洞會(huì)影響除最新版本的移動(dòng)操作系統(tǒng)Android以外的所有Android設(shè)備，使數(shù)十億智能手機(jī)的陷入被攻擊的風(fēng)險(xiǎn)中。

StrandHogg 1.0駐留在Android的多任務(wù)處理功能中，而新的Strandhogg 2.0漏洞基本上是特權(quán)提升漏洞，黑客能夠訪問(wèn)幾乎所有應(yīng)用程序。當(dāng)用戶點(diǎn)擊合法應(yīng)用程序的圖標(biāo)時(shí)，利用Strandhogg漏洞的惡意軟件可以攔截并劫持此活動(dòng)或任務(wù)，并向用戶顯示虛假界面。與StrandHogg 2.0不同于1.0的一次只能攻擊一個(gè)應(yīng)用程序不同，只需按一下按鈕，可同時(shí)動(dòng)態(tài)攻擊設(shè)備上的幾乎所有應(yīng)用程序，無(wú)需為每個(gè)目標(biāo)設(shè)備進(jìn)行預(yù)先配置。

StrandHogg缺陷潛在的危險(xiǎn)令人擔(dān)憂，究其原因歸結(jié)以下幾點(diǎn)：

· 目標(biāo)用戶很難發(fā)現(xiàn)攻擊；

· 在劫持目標(biāo)設(shè)備上偽裝任何應(yīng)用程序的界面，無(wú)需進(jìn)行配置；

· 可用于欺詐性地請(qǐng)求任何設(shè)備許可；

· 沒(méi)有root權(quán)限也可以利用；

· 適用于幾乎所有版本的Android；

· 不需要任何特殊權(quán)限即可在設(shè)備上運(yùn)行。

除了通過(guò)假屏幕竊取登錄憑據(jù)之外，還可以冒充合法應(yīng)用誘使用戶授予敏感設(shè)備權(quán)限提升其功能。利用StrandHogg 2.0，一旦在設(shè)備上安裝了惡意應(yīng)用，攻擊者就可以訪問(wèn)私人SMS消息和照片，竊取受害者的登錄憑據(jù)，跟蹤GPS移動(dòng)，進(jìn)行和/或記錄電話對(duì)話以及通過(guò)電話的間諜行為，通過(guò)攝像頭和麥克風(fēng)監(jiān)視用戶等。更可怕的是防病毒和安全掃描程序檢測(cè)難以發(fā)現(xiàn)利用StrandHogg 2.0的惡意軟件，而對(duì)最終用戶構(gòu)成重大危險(xiǎn)。

安全研究人員于去年12月份向Google報(bào)告了該漏洞。之后，Google開(kāi)發(fā)了一個(gè)補(bǔ)丁程序，并于2020年4月向下游智能手機(jī)制造公司共享該補(bǔ)丁，手機(jī)制造商將于本月開(kāi)始向各自的用戶推出軟件更新。

盡管沒(méi)有有效且可靠的方法來(lái)阻止或檢測(cè)任務(wù)劫持攻擊，用戶可以通過(guò)關(guān)注StrandHogg 1.0時(shí)共享的差異來(lái)發(fā)現(xiàn)此類(lèi)攻擊，例如：

· 已經(jīng)登錄的應(yīng)用要求重新登錄；

· 不包含應(yīng)用程序名稱的權(quán)限彈出窗口；

· 應(yīng)用程序多余的權(quán)限請(qǐng)求；

· 用戶界面中的按鈕和鏈接在被點(diǎn)擊時(shí)不起作用；

· 后退按鈕無(wú)法正常工作等。

我們身邊最多的莫過(guò)于安卓系統(tǒng)的設(shè)備，安卓出現(xiàn)致命性的漏洞時(shí)，動(dòng)輒影響百萬(wàn)人，甚至十幾億人口。

來(lái)源：祺印說(shuō)信安

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明