新的Android漏洞Strandhogg 2.0利用用户信任

2020-05-27 08:19:51

挪威一家信息安全公司发现了一个新的Android漏洞,他们将其命名为Strandhogg2.0。安全公司Promon表示,Strandhogg&34;是一种古老的北欧海岸线突袭和绑架战略,今天的漏洞是2019年发现的类似战略的邪恶孪生兄弟。

最初的Strandhogg使用名为taskAffity的Android功能劫持应用程序-通过设置其中一个Activity的taskAffity与任何其他应用程序的PackageName匹配,然后在其自己的清单中设置allowTaskReparentation=true&34;Strandhogg应用程序将代替目标应用程序启动。

想象一下,在你的手机上点击合法的Gmail图标,就会得到一个看起来像是合法的登录提示,逐个像素地与你看到的那个相同,如果你的账户已经注销了。请输入您的证件好吗?如果你或孩子可能安装的某个免费游戏或应用程序是Strandhogg容器,你只需将你的凭据交给攻击者-他甚至可能在测试你的凭据后立即启动Gmail应用程序本身,没有留下任何明显的迹象表明你已经被攻破。

Strandhogg 1.0的主要缺点是需要在Android清单中声明taskAffinity。清单是一个纯XML文件,必须包括在Play Store本身托管的软件包中-它不能简单地在应用程序安装后稍后下载。这使得扫描Play商店中带有粗略taskAffinity声明的应用程序变得相对简单。

Strandhogg2.0不需要在包的Android清单中进行任何特殊设置-这意味着攻击代码根本不需要出现在Play Store上就能被扫描。相反,一旦特洛伊木马应用程序或游戏已经安装在用户的设备上,攻击者可以稍后下载攻击代码。

除了明显的凭据窃取攻击外,Strandhogg还可以被用来欺骗用户,根据他们对其劫持的应用程序的信任来提升其权限。例如,一位点击摄像头的用户被问到是否想要授予它访问摄像头和麦克风的权限--如果用户点击是,他们实际上已经将这些权限授予了恶意软件应用程序,而不是它在屏幕上掩盖的相机应用程序。

Strandhogg 2.0影响Android 10之前的所有版本-这相当于Android用户群的大约90%。谷歌在5月份的Android安全更新中发布了一个补丁来修复Strandhogg2.0漏洞CVE-2020-0096。这对Pixel用户来说是个好消息--但和往常一样,运营商和OEM可能会大幅推迟升级。

旧的Strandhogg 1.0漏洞没有打补丁,而且很可能也不会打补丁-谷歌似乎更喜欢在将不可靠的应用程序上载到Play商店时用它们打鼹鼠,因为它可以直接在潜在恶意软件应用程序的清单中扫描该漏洞的利用情况。