威胁情报|安卓漏洞StrandHogg2.0来袭,将影响超10亿台设备
近日,Promon 安全研究人员披露了一种新型安卓高危漏洞,该漏洞编号为CVE-2020-0096,因其与Strandhogg漏洞相似,又被称为“StrandHogg2.0”,预计将影响超10亿台安卓设备。
StrandHogg(维京海盗)安全漏洞
早在去年12月,来自Promon的安全专家披露了StrandHogg漏洞,该漏洞影响了数十个安卓应用程序。攻击者利用该漏洞可以将恶意软件伪装成合法的APP,且不被用户发现,从而窃取用户敏感信息,进而盗取银行业卡账户余额。
StrandHogg一词取自维京海盗的一种突袭战术,以此命名该漏洞。正如其名,该漏洞也突袭了大多数的安卓应用程序。
StrandHogg是一个存在于安卓多任务系统中的应用漏洞。该漏洞利用则是基于一个名为“taskAffinity”的Android控件设置,允许包括恶意应用在内的任意程序,随意采用多任务处理系统中的任何身份。
一旦安装恶意程序,就能让恶意程序顺利伪装合法应用,获得更高的权限,窃取信息或进行任意恶意操作。简单来说,当用户日常使用设备上的APP时,利用该漏洞可以劫持APP,并向用户显示一个虚假应用界面。
StrandHogg 2.0漏洞危害再升级
StrandHogg 2.0也可以劫持任意App,允许更大范围内的攻击,并且很难检测。StrandHogg 2.0利用的并不是安卓控制设置TaskAffinity,利用TaskAffinity虽然可以劫持安卓的多任务特征,但是也会留下痕迹。Strandhogg 2.0是通过反射执行的,允许恶意app自由地设定合法app的身份,同时可以完全隐藏。
StrandHogg 1.0一次只可以攻击一个应用程序,但是StrandHogg 2.0允许攻击者进行“动态攻击”。“只需按一下按钮就可以同时攻击指定设备上的所有应用程序”,而无需为每个目标应用程序进行预先配置。
通过利用StrandHogg 2.0,一旦设备上安装了恶意app,攻击者就可以诱使用户点击一个合法App的图标,但图标背后实际展示的是一个恶意的版本。如果受害者在该界面输入登陆凭证,那么这些敏感数据的细节就会立刻发送给攻击者,攻击者就可以登入、控制这些App。
与Strandhugg漏洞类似,通过利用StrandHogg 2.0,一旦将恶意应用安装在设备上,便可染指用户个人数据,比如短信、照片、登陆凭证、追踪 GPS 运动轨迹、通话记录、以及通过摄像头和麦克风监听用户。
该漏洞的独特之处在于:
1、无需root即可利用该漏洞,且无法被用户发现;
2、无法检测到Strandhogg漏洞利用;
3、可进行动态的“同时攻击”。
要利用StrandHogg 2.0漏洞,无需任何额外的配置,因此攻击者可以进一步混淆攻击,因为Google play中的代码在开发者和安全团队眼中并不是有害的。
StrandHogg 2.0是极其危险的,因为即使在没有root的设备上也可以发起复杂的攻击。同时StrandHogg 2.0是基于代码执行的,因此更加难以检测。
Promon研究人员预测攻击可能会同时利用StrandHogg和 StrandHogg 2.0漏洞来对受害者设备进行攻击,这样就可以确保攻击的范围尽可能的大。
漏洞影响
StrandHogg 2.0漏洞利用并不影响运行Android 10的设备。但据Google的官方数据,虽然Google早已推出Android 10,但由于设备厂商不能及时推送或其他原因,依然有不少用户暂时无法更新到这一版本。截至2020年4月,有91.8%的安卓活跃用户运行的是Android 9.0及更早的版本。
处置建议
许多针对StrandHogg的漏洞修复建议并不适用于StrandHogg 2.0。
Android生态合作伙伴的2020 年 4 月安全补丁中,已经包含了 CVE-2020-0096 的漏洞修复,Android 8.0、8.1、9.0设备都可获得修复。
作为一般用户,避免因系统漏洞被黑客利用的方法,除了及时更新系统外,StrandHogg 2.0 由于较初代漏洞更加复杂,使之难以被反病毒和安全扫描程序检测到。用户需注意不要从来历不明的非可信任来源安装 Android 应用,以免受到此类恶意攻击的影响。
而App开发者则必须确保私有的App都使用了适当的安全措施来应对在野攻击的风险。
参考链接:https://promon.co/strandhogg-2-0/
- 用户评论
