[[327987]]

Promon研究人員在安卓系統(tǒng)中發(fā)現(xiàn)了一個新的權(quán)限提升漏洞，攻擊者利用該漏洞可以獲取幾乎所有app的訪問權(quán)限。Google給該漏洞分配的CVE編號為CVE-2020-0096，漏洞等級為高危。由于該漏洞與2019年發(fā)現(xiàn)的StrandHogg漏洞非常相似，Promon將該漏洞命名為——StrandHogg 2.0。

StrandHogg 2.0 VS StrandHogg

Strandhogg

Strandhogg是2019年發(fā)現(xiàn)的一個安卓安全漏洞，惡意app利用該漏洞可以偽裝成設(shè)備上安裝的其他任意app，通過向用戶展示虛假接口誘使用戶泄露一些敏感信息。研究人員已經(jīng)確認一些攻擊者可以利用該漏洞來竊取用戶銀行和其他登陸憑證，并監(jiān)聽安卓設(shè)備上的其他活動。

StrandHogg 2.0

StrandHogg 2.0也可以劫持任意app，允許更大范圍內(nèi)的攻擊，并且很難檢測。StrandHogg 2.0利用的并不是安卓控制設(shè)置TaskAffinity，利用TaskAffinity雖然可以劫持安卓的多任務特征，但是也會留下痕跡。Strandhogg 2.0是通過反射執(zhí)行的，允許惡意app自由地設(shè)定合法app的身份，同時可以完全隱藏。

通過利用StrandHogg 2.0，一旦設(shè)備上安裝了惡意app，攻擊者就可以誘使用戶點擊一個合法app的圖標，但圖標背后實際展示的是一個惡意的版本。如果受害者在該界面輸入登陸憑證，那么這些敏感數(shù)據(jù)的細節(jié)就會立刻發(fā)送給攻擊者，攻擊者就可以登入、控制這些app。

通過利用StrandHogg 2.0，一旦在設(shè)備上安裝了惡意app，攻擊者可以訪問私有的SMS消息和照片，竊取受害者登陸憑證，追蹤GPS移動，對手機通話就行錄音，通過手機攝像頭和麥克風監(jiān)聽手機。

要利用StrandHogg 2.0漏洞，無需任何額外的配置，因此攻擊者可以進一步混淆攻擊，因為Google play中的代碼在開發(fā)者和安全團隊眼中并不是有害的。

StrandHogg 2.0是極其危險的，因為即使在沒有root的設(shè)備上也可以發(fā)起復雜的攻擊。同時StrandHogg 2.0是基于代碼執(zhí)行的，因此更加難以檢測。

Promon研究人員預測攻擊可能會同時利用StrandHogg和 StrandHogg 2.0漏洞來對受害者設(shè)備進行攻擊，這樣就可以確保攻擊的范圍盡可能的大。

漏洞影響

StrandHogg 2.0漏洞利用并不影響運行Android 10的設(shè)備。但據(jù)Google的官方數(shù)據(jù)，截至2020年4月，有91.8%的安卓活躍用戶運行的是Android 9.0及更早的版本。

安全建議

許多針對StrandHogg的漏洞修復建議并不適用于StrandHogg 2.0。由于谷歌已經(jīng)發(fā)布了最新的官方補丁，因此建議用戶盡快升級到最新的固件來保護自己。

App開發(fā)者必須確保私有的app都使用了適當?shù)陌踩胧﹣響獙υ谝肮舻娘L險。