可伪装成正常应用程序,安卓又见新型漏洞Strandhogg

国外网络安全研究人员在安卓系统上发现了一个新的还没有被修复的漏洞。这个漏洞被称为Strandhogg,目前已经有几十个恶意应用利用了这个漏洞来窃取用户的银行信息和其他的登入数据。

这个Strandhogg漏洞是利用安卓的多任务处理功能,使安装在安卓系统上的琵意应用可以伪装成该设备上的任何其他应用程序,包括任何需要特权的系统应用程序。

换句话说,当用户点击一个正常应用程序的图标时,利用Strandhogg漏洞的恶意应用可以拦截劫持这个任务并且向用户显示一个虚假的应用界面,而不是启动那个正常的应用程序。

透过误导用户让他们以为打开的是一个正常的应用程序,这个漏洞可以使恶意应用以虚假的登录界面来窃取用户的数据。

挪威安全公司Promon研究人员表示:

“这个漏洞可以使攻击者能够成功地伪装成几乎所有应用程序。在这个示例中,攻击者通过利用如taskAffinity和allowTaskReparenting等的任务状态转换条件,成功地骗过系统并启动了虚假的界面。当受害者在这个假界面中输入他们的登录信息时,攻击者会立即收到这些信息,随后可以登录并控制那些应用程序。”

除了骗取敏感信息外,恶意应用还可以通过Strandhodd漏洞,冒充成正常应用程序向用户要求授予权限。

“攻击者可以要求获得任何权限,包括SMS、照片、麦克风和GPS定位,从而允许他们读取设置中的短信、查看照片、窃听并且跟踪受害者。”

目前没有任何可靠的方法来阻止或者探测到这种任务劫持攻击,不过用户可以通过注意任何异常情况来发现这类攻击,例如已经登录的应用要求再次登录、不包含应用程序名称的要求授权窗口、应用程序请求不应该需要的权限、用户界面中的按钮和链接点不了没反应,以及返回键失效了。