“伪装下的窃密者”:安卓漏洞StrandHogg2.0来袭,影响设备超10亿

安全 漏洞
近日,安全研究人员披露了一种新型安卓严重漏洞,该漏洞编号为CVE-2020-0096,因其与Strandhogg漏洞相似,又被称为“StrandHogg2.0”,影响超10亿台安卓设备。

还记得去年银行卡余额神秘消失事件吗?幕后黑手“安卓系统的维京海盗” Strandhogg漏洞至今还让人心有余悸。

近日,安全研究人员披露了一种新型安卓严重漏洞,该漏洞编号为CVE-2020-0096,因其与Strandhogg漏洞相似,又被称为“StrandHogg2.0”,影响超10亿台安卓设备。在原来的“StrandHogg1.0”之上,可以执行更复杂的提权攻击。

[[327891]]

“维京海盗”StrandHogg安全漏洞

早在去年12月,来自Promon的安全专家披露了StrandHogg漏洞,该漏洞影响了数十个安卓应用程序。攻击者利用该漏洞可以将恶意软件伪装成合法的APP,且不被用户发现,从而窃取用户敏感信息,进而盗取银行业卡账户余额。

StrandHogg一词取自维京海盗的一种突袭战术,以此命名该漏洞。正如其名,该漏洞也突袭了大多数的安卓应用程序。

StrandHogg是一个存在于安卓多任务系统中的应用漏洞。该漏洞利用则是基于一个名为“taskAffinity”的Android控件设置,允许包括恶意应用在内的任意程序,随意采用多任务处理系统中的任何身份。

一旦安装恶意程序,就能让恶意程序顺利伪装合法应用,获得更高的权限,窃取信息或进行任意恶意操作。简单来说,当用户日常使用设备上的APP时,利用该漏洞可以劫持APP,并向用户显示一个虚假应用界面。

用户在不知情的情况下,会在恶意APP中输入自己的账号密码等敏感信息,而黑客则可以悄无声息地窃取用户信息了,甚至利用这些敏感信息进行犯罪。

StrandHogg-Permission-Harvesting.jpg

这是一种“欺骗”行为,使用StrandHogg漏洞伪装成正常应用程序来欺骗用户,并借此授予黑客控制设备的权限。

攻击者利用该漏洞可以:

  • 通过麦克风监听用户
  • 通过摄像头拍照
  • 读取和发送 SMS 消息
  • 打电话和对电话就行录音
  • 进行登陆凭证钓鱼
  • 获取设备上所有的私有照片和文件
  • 获取位置和 GPS 信息
  • 访问联系人列表
  • 访问手机日志

这些权限基本就是设备中的核心权限了,一旦沦陷,个人隐私只能在黑客面前“裸奔”。

StrandHogg2.0漏洞危害再升级

安全研究人员报告CVE-2020-0096漏洞后,将其命名为“Strandhogg 2.0”。这次的漏洞会影响Android 9.0及其以下的所有版本设备。而目前,并非所有的安卓用户都已经升级了,这意味着80%至85%的安卓用户容易遭到黑客攻击。

此次的Strandhogg 2.0漏洞允许黑客进行提权攻击,可访问设备上几乎所有已安装的应用程序。

StrandHogg 1.0一次只可以攻击一个应用程序,但是StrandHogg 2.0允许攻击者进行“动态攻击”。“只需按一下按钮就可以同时攻击指定设备上的所有应用程序”,而无需为每个目标应用程序进行预先配置。

Promon说:“如果受害者然后在此界面中输入其登录凭据,则这些敏感信息将立即发送给攻击者,然后攻击者可以登录并控制对安全敏感的应用程序。”

和Strandhugg漏洞一样,该漏洞可以通过恶意软甲获取用户个人数据,比如短信、照片、登录凭据、追踪GPS、通话记录、摄像头和麦克风等。

图片2.jpg

该漏洞的独特之处在于:

  • 无需root即可利用该漏洞,且无法被用户发现;
  • 无法检测到Strandhogg漏洞利用;
  • 可进行动态的“同时攻击”。

所幸,在今年5月份,谷歌已经发布安全补丁,安卓用户应尽快更新设备,以免受到恶意攻击的影响。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-07-01 18:24:36

勒索软件病毒网络攻击

2015-08-06 14:51:19

2015-04-23 19:36:38

2022-12-08 09:47:29

2016-03-29 10:48:53

2017-03-07 10:34:40

Struts2Struts2漏洞

2020-05-28 11:09:36

漏洞安全IT

2021-08-02 10:28:35

漏洞网络安全网络攻击

2021-04-14 14:12:20

WRECK漏洞IoT设备

2024-02-27 16:39:08

2021-05-07 11:06:44

漏洞Qualcomm MS高通

2021-04-18 09:41:48

WRECK DNS漏洞NAME

2018-02-02 12:02:23

2014-03-19 19:32:28

同洲飞看2

2011-06-15 09:38:56

HTML 5

2014-08-11 15:57:56

BlackHat黑帽大会移动设备安全

2021-03-24 14:28:33

漏洞高通芯片安卓设备

2021-04-28 11:13:18

信息泄露漏洞网络攻击

2017-10-09 12:57:42

数据易观

2012-03-06 09:23:26

至强E5英特尔处理器
点赞
收藏

51CTO技术栈公众号