當前位置:
首頁 > 新聞 > StrandHogg安卓漏洞分析

StrandHogg安卓漏洞分析

Promon安全研究人員發現了一個危險的安卓漏洞——StrandHogg。攻擊者利用該漏洞可以將惡意軟體偽裝成合法的APP,而且用戶並不會意識到自己被攻擊了。該漏洞影響所有的安卓版本,包括最新的安卓 10,研究人員同時發現有36個惡意app正在利用該漏洞,同時top 500的app都處於危險中。

漏洞詳情

漏洞概述

StrandHogg是一種唯一且獨特的攻擊方式,可以在無需設備root許可權的情況下對設備發起複雜的攻擊。該漏洞利用安卓多任務系統中的弱點來使惡意app可以偽裝成設備中的其他app來發起攻擊。該漏洞利用是基於taskAffinity的,該安卓控制設備允許任意app(包括惡意app)在多任務系統中自由顯示為任意身份。

攻擊者通過獲取危險的許可權來實現這一目的。

請求許可權

漏洞使得惡意app可以在偽裝成合法app時請求不同的許可權。攻擊者可以請求任意許可權,包括SMS、照片、麥克風、GPS,通過請求的這些許可權可以讀取消息、查看照片、進行竊取和記錄受害者的移動。

攻擊活動中,攻擊者會將請求的app設置為類似app所請求的許可權,以降低受害者懷疑的可能性。用戶可能並不會意識到自己授予了惡意app許可權,也不會意識到他們使用的其實不是真實的APP。

釣魚攻擊

通過利用該漏洞,惡意APP可以對設備進行攻擊,而且當合法app的圖標被點擊時,打開的其實是惡意app。當受害者輸入登陸憑證時,這些信息就會被收集並發送給攻擊者,然後攻擊者可以利用這些敏感信息來控制相關的app。

攻擊者利用該漏洞可以:

·通過麥克風監聽用戶

·通過攝像頭拍照

·讀取和發送SMS消息

·打電話和對電話就行錄音

·進行登陸憑證釣魚

·獲取設備上所有的私有照片和文件

·獲取位置和GPS信息

·訪問聯繫人列表

·訪問手機日誌

漏洞影響

該漏洞影響所有的安卓版本(安卓6——安卓10),包括最新的安卓 10,Lookout研究人員發現有36個惡意app正在利用該漏洞,同時Promon 研究人員測試發現top 500的app幾乎都受到該漏洞的影響。雖然Google已經從Google play中刪除了這些惡意app,但是該漏洞目前還沒有被修復。

Promon遵守了Google 90天的漏洞發布規則,在今年夏天就將漏洞報告給了Google,但目前仍然沒有漏洞修復的相關消息。

如何檢測?

目前還沒有有效的檢測方法來檢測是否有惡意app在利用StrandHogg漏洞。但如果有惡意app利用該漏洞,用戶在使用安卓設備過程中可能會發現一些差異:

·已經登錄的app或服務再次要求登錄。

·沒有應用程序名稱的許可權彈出窗口。

·從應用程序請求的許可權來看,該許可權並不需要。例如,計算器請求GPS許可權。

·用戶界面中的錯字或拼寫錯誤。

·用戶界面中的按鈕和鏈接在單擊時不起作用。

·後退按鈕無法正常工作。

通過最近活動來關閉惡意APP是一種有效的方法,但攻擊者也可能會繞過這種方法。有一定計算機技術的用戶可以通過USB連接到電腦來運行adb shell dumpsys活動來查看具體的運行情況。

註:本文翻譯自:https://promon.co/security-news/strandhogg/

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

CVE-2019-13322:Mi6瀏覽器RCE漏洞
微軟披露加密劫持惡意軟體Dexphot,已感染近80000台設備