Android系统上的Strandhogg漏洞

12月3号下午,挪威一家安全公司披露了一个Android应用漏洞,并用描述维京海盗突袭战术的单词StrandHogg对其命名。值得庆幸的是,谷歌已采取措施解决该漏洞,并暂停了受影响的应用程序。

一、漏洞描述

StrandHogg是一个存在于Android多任务系统中的应用漏洞。该漏洞利用则是基于一个名为“taskAffinity”的Android控件设置,允许包括恶意应用在内的任意程序,随意采用多任务处理系统中的任何身份。

二、漏洞带来的危害

从零日核实的情况来看,StrandHogg漏洞确实存在于Android的多任务系统中,一旦已安装恶意程序利用,就能让恶意程序顺利伪装合法应用,获得更高的权限,窃取信息或进行任意恶意操作。

简单来说,就是中招后,当我们点开一个正常应用程序的图标时,利用Strandhogg漏洞的恶意应用可以拦截劫持这个任务,并向用户显示一个虚假的应用界面。这时,不明真相的你,会毫无防范的在一个虚假的界面,安心地输入账号、密码,以及进行任意操作,而那些涉及你隐私的敏感信息,输入后都会第一时间发送给攻击者,攻击者利用这些敏感信息,能做的是事情就多了。访问摄像头和麦克风,获取设备的位置,读取SMS,捕获登录凭据(包括通过SMS的2FA代码),访问私人照片和视频,访问联系人……这些看似基本但关系手机安全闭环的功能,只要成功利用Strandhogg漏洞,恶意应用都可以请求上述权限。

三、反思

Android漏洞是个老生常谈的话题,但并不能因此就忽视它的威胁。

在Android操作系统这片开源的大海上,其实不仅有StrandHogg漏洞这样的维京海盗式战术,还有各种各样已知未知的漏洞威胁,虽然经过十多年的发展,在各路技术人员的努力下,让Android操作系统漏洞威胁趋于稳定,但我们并不能掉以轻心,因为不法分子的攻击,时刻在发生。

有关消息来源于:https://www.freebuf.com/news/221933.html