Android爆重大的安全漏洞,可获取你的所有信息

发表于:2020-5-28 09:40

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:佚名    来源:海外黄老邪

分享:
  相较于去年底被揭发的StrandHogg 1.0漏洞,一次只能用来攻击一个Android程序,Google在今年5月修补的StrandHogg 2.0,得以让黑客同时攻击装置上任何程序,影响Android 9及之前的操作系统
  通过这个漏洞,黑客可窃听用户的麦克风、拍照、读取或传送简讯、盗走程序登入凭证、存取装置上的照片或档案、取得GPS与位置信息,或者是存取通讯簿与电话记录。非常危险!
  当用户于Android装置上安装了开采StrandHogg 2.0的恶意软件之后,在用户开启合法程序时,跳出的即会是恶意软件的权限询问窗口,用户通常会以为这是合法程序所需要的权限而同意授权,而且之后会再导回合法程序页面。
  在去年底揭露Android平台重大StrandHogg漏洞的挪威资安业者Promon,在本周公布了更危险、也更难侦测的StrandHogg 2.0漏洞,它能藏身于Android手机上的任何程序,窃取用户所输入的凭证。
  StrandHogg 1.0开采的是Android多任务系统中的taskAffinity控制设定漏洞,只要用户在Android装置上安装了开采该漏洞的恶意软件,它就能挟持装置上各种合法程序的任务,以合法程序名义取得各种权限。至于StrandHogg 2.0开采的则是Android平台上的权限扩张漏洞,它透过反射(reflection)来执行,允许恶意软件藏身在各种合法程序之后,以取得某些原本应赋予合法程序的权限。
  这两个漏洞的性质很像,都允许恶意软件藏身在合法程序之后,并取得各种权限,因而可窃听用户的麦克风、拍照、读取或传送简讯、盗走程序登入凭证、存取装置上的照片或档案、取得GPS与位置信息,或者是存取通讯簿与电话记录。
  相异之处在于它们属于不同的漏洞,StrandHogg 1.0会留下踪迹,StrandHogg 2.0却难以察觉,此外,StrandHogg 1.0漏洞一次只能用来攻击一个程序,但StrandHogg 2.0漏洞却只要一个按键,就能同时攻击装置上的所有程序。
  当用户于Android装置上安装了开采StrandHogg 2.0的恶意软件之后,在用户开启合法程序时,跳出的即会是恶意软件的权限询问窗口,用户通常会以为这是合法程序所需要的权限而同意授权,而且之后会再导回合法程序页面;倘若用户开启的是金融程序,恶意软件也可跳出登入画面,并将使用者所输入的凭证传送到黑客服务器上,继之再导回合法程序页面。
  其实Promon在去年12月,几乎是同时发现StrandHogg 1.0与StrandHogg 2.0漏洞,只是当时StrandHogg 1.0已遭黑客开采,至少已出现36个开采该漏洞的恶意软件,不得不在Google尚未修补前立即揭露;反之StrandHogg 2.0则尚未被开采,让Promon决定在Google修补后才公布,迄今Promon仍未看到有任何利用StrandHogg 2.0的恶意软件。
  StrandHogg 2.0影响Android 9及之前的操作系统,并未波及最新的Android 10,尽管如此,依然有大量的Android装置含有该风险,因为根据Google的统计,只有8.2%的Android装置采用Android 10。

      本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号