Android的一个严重漏洞可能会被利用来窃取你的银行凭证

发表于:2019-12-04 09:21  作者:佚名   来源:科技世界中的宏

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: Android 漏洞

  挪威安全公司Promon的研究人员发现了一个严重的Android漏洞,可以利用该漏洞窃取登录凭据,访问消息,跟踪位置等信息。
  
  名为StrandHogg的漏洞会影响包括Android 10在内的所有Android版本,而发现该漏洞的研究人员表示,该漏洞“使大多数应用容易受到攻击”。
  它通过利用Android多任务系统中的问题进行工作,使恶意应用程序能够将合法的应用程序与伪造的登录屏幕重叠,从而使用户欺骗来交出安全证书。
  还可以诱骗受害者为恶意应用程序授予其他权限,从而使应用程序能够执行各种形式的犯罪活动,包括拦截文本和呼叫,以及通过电话的麦克风收听。
  银行信息泄露
  Promon在调查发现从银行账户中窃钱的应用程序时发现了安全漏洞。它总共发现有60家金融机构使用了利用该漏洞的各种应用作为目标。
  Promon的首席技术官汤姆·汉森(Tom Hansen)告诉英国广播公司(BBC):“我们以前从未见过这种行为。随着操作系统变得越来越复杂,很难跟踪其所有交互。这看起来像是丢失了这种复杂性”。
  令人担忧的是,发现Google Play排名前500的大多数应用程序都容易受到利用。与Promon合作的另一家安全公司Lookout识别出不少于36个已经在积极利用此漏洞的恶意应用程序。其中包括BankBot银行木马的变种,早在2017年就已经存在。
  OneSpan是一家专门从事移动应用程序安全性的公司,并且它认识到发现的重要性。其高级产品营销经理Sam Bakken说:“ Promon的最新发现使该漏洞与以往一样严重”。
  他继续说,黑客显然已经利用安全漏洞已有相当长的时间了:“消费者和应用程序开发人员都遭受了四年的各种各样的欺诈。攻击者意识到此漏洞并积极利用窃取银行凭证和金钱”。
  Google对该漏洞的消息作出回应:“我们感谢研究人员的工作,并暂停了他们发现的潜在有害应用程序。此外,我们正在继续调查,以提高Google Play Protect保护用户免受类似行为侵害的能力。问题”。
  但是Promon警告说,目前仍然可以创建伪造的覆盖屏幕来欺骗所有版本的Android中的用户。

      本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2020, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道