聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

还记得 Strandhogg 漏洞吗？恶意应用可利用这个安卓漏洞伪装成目标设备上的任意其它 app，向用户显示虚假界面并诱骗他们交出敏感信息。

去年晚些时候，在该漏洞公开披露时，研究人员证实称某些攻击者已经在野利用该缺陷窃取用户的银行凭据和其它登录凭据并监控他们的活动。

刚刚，发现该漏洞的研究团队披露了一个新的影响安卓操作系统的严重漏洞 (CVE-2020-0096) 的详情。该漏洞可导致攻击者执行更加复杂的 Strandhogg 攻击。

这个新漏洞被称为 “Strandhogg 2.0”，它影响除运行最新版本 Andorid Q/10 以外的所有安卓设备，而这个版本仅占所有安卓设备的15%到20%，因此余下数十亿智能手机易受攻击。

和 StrandHogg1.0 有什么不同？

StrandHogg 1.0 存在于安卓的多任务功能中，而 StrandHogg 2.0 从本质上来讲是一个提权漏洞，可导致黑客获得对几乎所有应用的访问权限。如之前解释的那样，当用户点击合法应用的图标时，利用StrandHogg 漏洞的恶意软件能够拦截并劫持这一活动/任务，向用户展示虚假界面而非启动真正的应用。

然而，和 StrandHogg 1.0 一次只能攻击一款应用不同，StrandHogg 2.0 可导致攻击者“只需点击一个按钮就能同时动态地攻击给定设备上的几乎任何 app”，且无需对每个目标 app 进行预先配置。

StrandHogg 缺陷之所以具有潜在危险性且令人担忧，是因为：

• 目标用户几乎无法发现攻击；

• 无需任何配置，该缺陷就可被用于劫持目标设备上安装的任意 app 的界面；

• 它可被用于以欺诈方式获得任意设备权限；

• 无需 root 访问权限即可遭利用；

• 适用于除 Q 版本以外的所有安卓版本；

• 它无需任何特殊权限即可在设备上运作。

除了能够通过令人信服的虚假屏幕窃取登录凭据外，该恶意软件应用还可通过伪装成合法 app，诱骗用户交出敏感的设备权限的方式提升能力。研究人员表示，“攻击者能够利用 StrandHogg 2.0 获得对SMS 私密信息和照片的访问权限，窃取受害者的登录凭据，追踪 GPS 位移，制作并/或记录电话会话并通过电话摄像头和麦克风进行监控。”他们指出，利用 StrandHogg 2.0 的恶意软件也更难以被反病毒和安全扫描器检测到，从而为终端用户带来巨大危险。

补丁尚未发布

安全研究员负责任地在去年12月将该漏洞告知谷歌。之后，谷歌准备推出补丁并在2020年4月和智能手机制造商共享。从这个月开始，这些制造商正开始准备推出各自的软件更新。

尽管目前尚不存在能够拦截或检测任务劫持攻击的有效且可靠的方式，但用户仍然可以通过一些类似于发现 StrandHogg 1.0 漏洞攻击的线索发现 StrandHogg 2.0。如出现以下线索，则要注意了：

• 已经登录的app要求获得登录凭据；

• 权限弹出信息不包含 app 名称；

• App 要求获得的权限不应或不必获得这些权限；

• 用户界面中的按钮和链接点击后没有执行任何动作；

• 返回按钮未按预期运作。

推荐阅读

谷歌不修用户泪流：已遭利用且影响所有安卓版本的严重 0day 漏洞 StrandHogg 详情遭曝光

原文链接

https://thehackernews.com/2020/05/stranhogg-android-vulnerability.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ，加油鸭~