還記得去年銀行卡余額神秘消失事件嗎?幕后黑手“安卓系統(tǒng)的維京海盜” Strandhogg漏洞至今還讓人心有余悸。

近日，安全研究人員披露了一種新型安卓嚴(yán)重漏洞，該漏洞編號(hào)為CVE-2020-0096，因其與Strandhogg漏洞相似，又被稱為“StrandHogg2.0”，影響超10億臺(tái)安卓設(shè)備。在原來的“StrandHogg1.0”之上，可以執(zhí)行更復(fù)雜的提權(quán)攻擊。

[[327891]]

“維京海盜”StrandHogg安全漏洞

早在去年12月，來自Promon的安全專家披露了StrandHogg漏洞，該漏洞影響了數(shù)十個(gè)安卓應(yīng)用程序。攻擊者利用該漏洞可以將惡意軟件偽裝成合法的APP，且不被用戶發(fā)現(xiàn)，從而竊取用戶敏感信息，進(jìn)而盜取銀行業(yè)卡賬戶余額。

StrandHogg一詞取自維京海盜的一種突襲戰(zhàn)術(shù)，以此命名該漏洞。正如其名，該漏洞也突襲了大多數(shù)的安卓應(yīng)用程序。

StrandHogg是一個(gè)存在于安卓多任務(wù)系統(tǒng)中的應(yīng)用漏洞。該漏洞利用則是基于一個(gè)名為“taskAffinity”的Android控件設(shè)置，允許包括惡意應(yīng)用在內(nèi)的任意程序，隨意采用多任務(wù)處理系統(tǒng)中的任何身份。

一旦安裝惡意程序，就能讓惡意程序順利偽裝合法應(yīng)用，獲得更高的權(quán)限，竊取信息或進(jìn)行任意惡意操作。簡(jiǎn)單來說，當(dāng)用戶日常使用設(shè)備上的APP時(shí)，利用該漏洞可以劫持APP，并向用戶顯示一個(gè)虛假應(yīng)用界面。

用戶在不知情的情況下，會(huì)在惡意APP中輸入自己的賬號(hào)密碼等敏感信息，而黑客則可以悄無聲息地竊取用戶信息了，甚至利用這些敏感信息進(jìn)行犯罪。

這是一種“欺騙”行為，使用StrandHogg漏洞偽裝成正常應(yīng)用程序來欺騙用戶，并借此授予黑客控制設(shè)備的權(quán)限。

攻擊者利用該漏洞可以：

• 通過麥克風(fēng)監(jiān)聽用戶
• 通過攝像頭拍照
• 讀取和發(fā)送 SMS 消息
• 打電話和對(duì)電話就行錄音
• 進(jìn)行登陸憑證釣魚
• 獲取設(shè)備上所有的私有照片和文件
• 獲取位置和 GPS 信息
• 訪問聯(lián)系人列表
• 訪問手機(jī)日志

這些權(quán)限基本就是設(shè)備中的核心權(quán)限了，一旦淪陷，個(gè)人隱私只能在黑客面前“裸奔”。

StrandHogg2.0漏洞危害再升級(jí)

安全研究人員報(bào)告CVE-2020-0096漏洞后，將其命名為“Strandhogg 2.0”。這次的漏洞會(huì)影響Android 9.0及其以下的所有版本設(shè)備。而目前，并非所有的安卓用戶都已經(jīng)升級(jí)了，這意味著80%至85%的安卓用戶容易遭到黑客攻擊。

此次的Strandhogg 2.0漏洞允許黑客進(jìn)行提權(quán)攻擊，可訪問設(shè)備上幾乎所有已安裝的應(yīng)用程序。

StrandHogg 1.0一次只可以攻擊一個(gè)應(yīng)用程序，但是StrandHogg 2.0允許攻擊者進(jìn)行“動(dòng)態(tài)攻擊”。“只需按一下按鈕就可以同時(shí)攻擊指定設(shè)備上的所有應(yīng)用程序”，而無需為每個(gè)目標(biāo)應(yīng)用程序進(jìn)行預(yù)先配置。

Promon說：“如果受害者然后在此界面中輸入其登錄憑據(jù)，則這些敏感信息將立即發(fā)送給攻擊者，然后攻擊者可以登錄并控制對(duì)安全敏感的應(yīng)用程序。”

和Strandhugg漏洞一樣，該漏洞可以通過惡意軟甲獲取用戶個(gè)人數(shù)據(jù)，比如短信、照片、登錄憑據(jù)、追蹤GPS、通話記錄、攝像頭和麥克風(fēng)等。

該漏洞的獨(dú)特之處在于：

• 無需root即可利用該漏洞，且無法被用戶發(fā)現(xiàn);
• 無法檢測(cè)到Strandhogg漏洞利用;
• 可進(jìn)行動(dòng)態(tài)的“同時(shí)攻擊”。

所幸，在今年5月份，谷歌已經(jīng)發(fā)布安全補(bǔ)丁，安卓用戶應(yīng)盡快更新設(shè)備，以免受到惡意攻擊的影響。