[[327987]]

Promon研究人員在安卓系統(tǒng)中發(fā)現(xiàn)了一個(gè)新的權(quán)限提升漏洞，攻擊者利用該漏洞可以獲取幾乎所有app的訪問(wèn)權(quán)限。Google給該漏洞分配的CVE編號(hào)為CVE-2020-0096，漏洞等級(jí)為高危。由于該漏洞與2019年發(fā)現(xiàn)的StrandHogg漏洞非常相似，Promon將該漏洞命名為——StrandHogg 2.0。

StrandHogg 2.0 VS StrandHogg

Strandhogg

Strandhogg是2019年發(fā)現(xiàn)的一個(gè)安卓安全漏洞，惡意app利用該漏洞可以偽裝成設(shè)備上安裝的其他任意app，通過(guò)向用戶展示虛假接口誘使用戶泄露一些敏感信息。研究人員已經(jīng)確認(rèn)一些攻擊者可以利用該漏洞來(lái)竊取用戶銀行和其他登陸憑證，并監(jiān)聽(tīng)安卓設(shè)備上的其他活動(dòng)。

StrandHogg 2.0

StrandHogg 2.0也可以劫持任意app，允許更大范圍內(nèi)的攻擊，并且很難檢測(cè)。StrandHogg 2.0利用的并不是安卓控制設(shè)置TaskAffinity，利用TaskAffinity雖然可以劫持安卓的多任務(wù)特征，但是也會(huì)留下痕跡。Strandhogg 2.0是通過(guò)反射執(zhí)行的，允許惡意app自由地設(shè)定合法app的身份，同時(shí)可以完全隱藏。

通過(guò)利用StrandHogg 2.0，一旦設(shè)備上安裝了惡意app，攻擊者就可以誘使用戶點(diǎn)擊一個(gè)合法app的圖標(biāo)，但圖標(biāo)背后實(shí)際展示的是一個(gè)惡意的版本。如果受害者在該界面輸入登陸憑證，那么這些敏感數(shù)據(jù)的細(xì)節(jié)就會(huì)立刻發(fā)送給攻擊者，攻擊者就可以登入、控制這些app。

通過(guò)利用StrandHogg 2.0，一旦在設(shè)備上安裝了惡意app，攻擊者可以訪問(wèn)私有的SMS消息和照片，竊取受害者登陸憑證，追蹤GPS移動(dòng)，對(duì)手機(jī)通話就行錄音，通過(guò)手機(jī)攝像頭和麥克風(fēng)監(jiān)聽(tīng)手機(jī)。

要利用StrandHogg 2.0漏洞，無(wú)需任何額外的配置，因此攻擊者可以進(jìn)一步混淆攻擊，因?yàn)镚oogle play中的代碼在開(kāi)發(fā)者和安全團(tuán)隊(duì)眼中并不是有害的。

StrandHogg 2.0是極其危險(xiǎn)的，因?yàn)榧词乖跊](méi)有root的設(shè)備上也可以發(fā)起復(fù)雜的攻擊。同時(shí)StrandHogg 2.0是基于代碼執(zhí)行的，因此更加難以檢測(cè)。

Promon研究人員預(yù)測(cè)攻擊可能會(huì)同時(shí)利用StrandHogg和 StrandHogg 2.0漏洞來(lái)對(duì)受害者設(shè)備進(jìn)行攻擊，這樣就可以確保攻擊的范圍盡可能的大。

漏洞影響

StrandHogg 2.0漏洞利用并不影響運(yùn)行Android 10的設(shè)備。但據(jù)Google的官方數(shù)據(jù)，截至2020年4月，有91.8%的安卓活躍用戶運(yùn)行的是Android 9.0及更早的版本。

安全建議

許多針對(duì)StrandHogg的漏洞修復(fù)建議并不適用于StrandHogg 2.0。由于谷歌已經(jīng)發(fā)布了最新的官方補(bǔ)丁，因此建議用戶盡快升級(jí)到最新的固件來(lái)保護(hù)自己。

App開(kāi)發(fā)者必須確保私有的app都使用了適當(dāng)?shù)陌踩胧﹣?lái)應(yīng)對(duì)在野攻擊的風(fēng)險(xiǎn)。