新的Android漏洞Strandhogg 2.0利用了用戶的信任

一家挪威的infosec公司發(fā)現(xiàn)了一個新的Android漏洞，他們將其命名為Strandhogg 2.0。安全公司Promon說，“Strandhogg”是一種古老的挪威策略，用于海岸線襲擊和綁架，今天的漏洞是2019年發(fā)現(xiàn)的一個類似的“邪惡雙胞胎”。

原Strandhogg使用Android的特性叫做taskAffinity劫持應用程序設置taskAffinity匹配packageName活動之一的其他應用程序,然后設置allowTaskReparenting = " true "自己的清單,Strandhogg應用將在目標應用程序的地方。

想象一下，在你的手機上點擊合法的Gmail圖標，就會出現(xiàn)一個合法的登錄提示，像素對像素地顯示，就像你看到的賬戶已經注銷一樣。你會輸入你的憑證嗎?如果您或您的孩子可能安裝的免費游戲或應用程序之一是Strandhogg容器，那么您只需將您的憑據(jù)交給攻擊者—攻擊者甚至可能在測試您的憑據(jù)后立即啟動Gmail應用程序本身，不會留下明顯的您已被攻擊的跡象。

Strandhogg 1.0的主要缺點是需要在Android Manifest中聲明taskAffinity。清單是一個普通的XML文件，必須包含在Play Store中托管的包中—不能在安裝應用程序之后簡單地下載它。這使得在Play store中掃描帶有粗略的taskAffinity聲明的應用程序變得相對簡單。

Strandhogg 2.0不需要在包的Android聲明中進行任何特殊設置——這意味著攻擊代碼根本不需要出現(xiàn)在Play Store中進行掃描。相反，一旦木馬程序或游戲已經安裝在用戶的設備上，攻擊者可以在以后下載攻擊代碼。

除了明顯的證書竊取攻擊外，Strandhogg還可以用來欺騙用戶，讓他們基于對其劫持的應用程序的信任而升級其特權。例如，當用戶點擊攝像頭時，會被詢問是否愿意授予其訪問攝像頭和麥克風的權限——如果用戶點擊同意，他們實際上已經將這些權限授予了惡意軟件應用程序，而不是屏幕上隱藏的攝像頭應用程序。

老版本的Strandhogg 1.0漏洞沒有打補丁，而且很可能也不會打補丁——看起來谷歌更喜歡在上傳到play store的時候用狡猾的應用程序來玩“打地鼠”，因為它可以直接在潛在的惡意軟件應用程序清單中掃描該漏洞的漏洞。