还记得去年银行卡余额神秘消失事件吗?人们心有余悸。近日,安全研究人员披露了一种新型严重的安卓漏洞,编号为CVE-2020-0096,由于与Strandhogg漏洞类似,也被称为“StrandHogg2.0”,影响了超过10亿台安卓设备。在原有的“StrandHogg1.0”之上,可以进行更复杂的提权攻击。“维京人”StrandHogg安全漏洞早在去年12月,来自Promon的安全专家就披露了StrandHogg漏洞,该漏洞影响了数十款安卓应用。攻击者可以利用该漏洞将恶意软件伪装成合法APP而不被用户发现,从而窃取用户的敏感信息,进而盗取银行卡账户余额。StrandHogg一词取自维京人用来命名漏洞的突袭战术。顾名思义,该错误也影响了大多数Android应用程序。StrandHogg是Android多任务系统中存在的一个应用程序漏洞。该漏洞基于名为“taskAffinity”的Android控件设置,该设置允许任何程序(包括恶意应用程序)随意在多任务系统中采用任何身份。一旦安装了恶意程序,恶意程序就可以成功伪装成合法应用程序,获得更高的权限,窃取信息或执行任何恶意操作。简单来说,当用户日常使用设备上的APP时,利用该漏洞可以劫持APP,向用户展示一个虚假的应用界面。用户会在不知情的情况下在恶意APP中输入账号密码等敏感信息,黑客可以悄悄窃取用户信息,甚至利用这些敏感信息进行犯罪活动。这是一种“欺骗”行为,利用StrandHogg漏洞伪装成正常应用程序来欺骗用户,从而授予黑客控制设备的权限。攻击者可以利用此漏洞:通过麦克风监控用户通过摄像头读取和发送短信拍照、打电话和录音进行登录凭据钓鱼获取设备上的所有私人照片和文件获取位置和GPS信息访问联系人列表access手机日志的权限基本都是设备中的核心权限。一旦泄露,个人隐私就只能“赤裸”在黑客面前。StrandHogg2.0漏洞重新升级安全研究人员报告了CVE-2020-0096漏洞后,将其命名为“Strandhogg2.0”。该漏洞影响所有版本的Android9.0及以下设备。而且目前,并不是所有的安卓用户都升级了,这意味着80%到85%的安卓用户容易受到黑客攻击。Strandhogg2.0漏洞允许黑客进行权限提升攻击并访问设备上几乎所有已安装的应用程序。StrandHogg1.0一次只能攻击一个应用程序,但StrandHogg2.0允许攻击者进行“动态攻击”。“按下按钮同时攻击给定设备上的所有应用程序”,无需为每个目标应用程序进行预配置。“如果受害者随后将他们的登录凭据输入到这个界面,这些敏感信息会立即发送给攻击者,攻击者然后可以登录并控制对安全敏感的应用程序,”Promon说。与Strandhugg漏洞一样,该漏洞可以通过恶意软件获取用户个人数据,例如短信、照片、登录凭据、跟踪GPS、通话记录、摄像头和麦克风。该漏洞的独特之处在于:该漏洞无需root即可利用,用户无法发现;无法检测到Strandhogg漏洞;可以进行动态的“同时攻击”。好在今年5月,谷歌已经发布了安全补丁,安卓用户要尽快更新自己的设备,以免受到恶意攻击的影响。
