Promon研究人員在安卓系統中發現了一個新的許可權提升漏洞,攻擊者利用該漏洞可以獲取幾乎所有app的訪問許可權。Google給該漏洞分配的CVE編號為CVE-2020-0096,漏洞等級為高危。由於該漏洞與2019年發現的StrandHogg漏洞非常相似,Promon將該漏洞命名為——StrandHogg 2.0。
StrandHogg 2.0 VS StrandHoggStrandhogg
Strandhogg是2019年發現的一個安卓安全漏洞,惡意app利用該漏洞可以偽裝成裝置上安裝的其他任意app,通過向用戶展示虛假介面誘使使用者洩露一些敏感資訊。研究人員已經確認一些攻擊者可以利用該漏洞來竊取使用者銀行和其他登陸憑證,並監聽安卓裝置上的其他活動。
StrandHogg 2.0
StrandHogg 2.0也可以劫持任意app,允許更大範圍內的攻擊,並且很難檢測。StrandHogg 2.0利用的並不是安卓控制設定TaskAffinity,利用TaskAffinity雖然可以劫持安卓的多工特徵,但是也會留下痕跡。Strandhogg 2.0是通過反射執行的,允許惡意app自由地設定合法app的身份,同時可以完全隱藏。
通過利用StrandHogg 2.0,一旦裝置上安裝了惡意app,攻擊者就可以誘使使用者點選一個合法app的圖示,但圖示背後實際展示的是一個惡意的版本。如果受害者在該介面輸入登陸憑證,那麼這些敏感資料的細節就會立刻傳送給攻擊者,攻擊者就可以登入、控制這些app。
通過利用StrandHogg 2.0,一旦在裝置上安裝了惡意app,攻擊者可以訪問私有的SMS訊息和照片,竊取受害者登陸憑證,追蹤GPS移動,對手機通話就行錄音,通過手機攝像頭和麥克風監聽手機。
要利用StrandHogg 2.0漏洞,無需任何額外的配置,因此攻擊者可以進一步混淆攻擊,因為Google play中的程式碼在開發者和安全團隊眼中並不是有害的。
StrandHogg 2.0是極其危險的,因為即使在沒有root的裝置上也可以發起複雜的攻擊。同時StrandHogg 2.0是基於程式碼執行的,因此更加難以檢測。
Promon研究人員預測攻擊可能會同時利用StrandHogg和 StrandHogg 2.0漏洞來對受害者裝置進行攻擊,這樣就可以確保攻擊的範圍儘可能的大。
漏洞影響
StrandHogg 2.0漏洞利用並不影響執行Android 10的裝置。但據Google的官方資料,截至2020年4月,有91.8%的安卓活躍使用者執行的是Android 9.0及更早的版本。
安全建議許多針對StrandHogg的漏洞修復建議並不適用於StrandHogg 2.0。由於谷歌已經發布了最新的官方補丁,因此建議使用者儘快升級到最新的韌體來保護自己。
App開發者必須確保私有的app都使用了適當的安全措施來應對在野攻擊的風險。
更多漏洞細節參見:https://promon.co/strandhogg-2-0/