当前位置:首页  科技

科技

Android平台出现重大的StrandHogg 2.0漏洞

2021-02-20 07:06:46

揭露StrandHogg2.0漏洞的Promon指出,当使用者于Android装置上安装了开採StrandHogg 2.0的恶意程式之后,在使用者开启合法程式时,跳出的即会是恶意程式的权限询问视窗,使用者通常会以为这是合法程式所需要的权限而同意授权,而且之后会再导回合法程式页面。(图片来源/Promon)

在去年底揭露Android平台重大StrandHogg漏洞的挪威资安业者Promon,在本周公布了更危险、也更难侦测的StrandHogg 2.0漏洞,它能藏身于Android手机上的任何程式,窃取使用者所输入的凭证,由于行径与StrandHogg类似,而被命名为StrandHogg 2.0,幸好Google已在今年5月修补了此一编号为CVE-2020-0096的安全漏洞。

StrandHogg 1.0开採的是Android多工系统中的taskAffinity控制设定漏洞,只要使用者在Android装置上安装了开採该漏洞的恶意程式,它就能挟持装置上各种合法程式的任务,以合法程式名义取得各种权限。至于StrandHogg 2.0开採的则是Android平台上的权限扩张漏洞,它透过反射(reflection)来执行,允许恶意程式藏身在各种合法程式之后,以取得某些原本应赋予合法程式的权限。

这两个漏洞的性质很像,都允许恶意程式藏身在合法程式之后,并取得各种权限,因而可窃听使用者的麦克风、拍照、读取或传送简讯、盗走程式登入凭证、存取装置上的照片或档案、取得GPS与位置资讯,或者是存取通讯录与电话纪录。

相异之处在于它们属于不同的漏洞,StrandHogg 1.0会留下蹤迹,StrandHogg 2.0却难以察觉,此外,StrandHogg 1.0漏洞一次只能用来攻击一个程式,但StrandHogg 2.0漏洞却只要一个按键,就能同时攻击装置上的所有程式。

当使用者于Android装置上安装了开採StrandHogg 2.0的恶意程式之后,在使用者开启合法程式时,跳出的即会是恶意程式的权限询问视窗,使用者通常会以为这是合法程式所需要的权限而同意授权,而且之后会再导回合法程式页面;倘若使用者开启的是金融程式,恶意程式也可跳出登入画面,并将使用者所输入的凭证传送到骇客伺服器上,继之再导回合法程式页面。

其实Promon在去年12月,几乎是同时发现StrandHogg 1.0与StrandHogg 2.0漏洞,只是当时StrandHogg 1.0已遭骇客开採,至少已出现36个开採该漏洞的恶意程式,不得不在Google尚未修补前立即揭露;反之StrandHogg 2.0则尚未被开採,让Promon决定在Google修补后才公布,迄今Promon仍未看到有任何利用StrandHogg 2.0的恶意程式。

StrandHogg 2.0影响Android 9及之前的作业系统,并未波及最新的Android 10,儘管如此,依然有大量的Android装置含有该风险,因为根据Google的统计,只有8.2%的Android装置採用Android 10。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。