首頁 > 安全研究 > 安全通報 > 安全通告

Android StrandHogg漏洞安全通告

發布時間 2019-12-04

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響版本


所有Android版本,包括Android10*


漏洞概述


近日,挪威專業應用安全保護公司Promon的安全研究人員表示,他們發現了Android操作系統中的一個漏洞,該漏洞使惡意應用可以劫持合法程序,從而使黑客可以訪問私人短信和照片,竊取受害者的登錄憑據,跟蹤位置或記錄電話對話,甚至可以通過手機攝像頭和麥克風進行監視。他們將該漏洞命名為StrandHogg,這是北歐人的一種北歐海盜戰術,襲擊沿海地區掠奪并扣押贖金。


StrandHogg攻擊不需要root訪問權限即可運行,目前已經有至少36個利用此漏洞的惡意應用,其中包括最早在2017年觀察到的BankBot銀行木馬的變種。這36個應用程序已作為第二階段的有效負載安裝在用戶的設備上。用戶最初從Play商店安裝了其他惡意應用程序,然后又下載了受StrandHogg感染的應用程序,以進行更具侵入性的攻擊。


Promon研究人員還測試了Google Play商店中可用的前500個最流行的Android應用程序,發現可以通過StrandHogg攻擊劫持所有應用程序的進程以執行惡意操作。


漏洞驗證


在表面上,StrandHogg是Android操作系統處理在處理不同操作或應用程序的任務(進程)之間切換的方式中的錯誤。更具體地說,StrandHogg是OS組件中的一個錯誤,用于處理多任務,這種機制使Android操作系統可以一次運行多個進程,并在應用程序進入或退出用戶視圖(屏幕)時在它們之間切換。當用戶啟動另一個應用程序時,通過稱為“任務重做”的功能,安裝在Android智能手機上的惡意應用程序可以利用StrandHogg錯誤觸發惡意代碼。


攻擊者通過該漏洞,請求獲取應用權限,或者攻擊者利用類似“界面劫持”的方式,彈出釣魚界面讓你輸入賬戶密碼,或者一直給你彈界面,讓你退不出去,從而實施勒索錢財。


漏洞演示視頻:https://promon.co/security-news/strandhogg/。



修復建議


目前廠商沒有發布漏洞補丁,不要安裝來歷不明的APP。


參考鏈接


https://promon.co/security-news/strandhogg/

上一篇 下一篇