2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
一家挪威的infosec公司發(fā)現(xiàn)了一個新的Android漏洞,他們將其命名為Strandhogg 2.0。安全公司Promon說,“Strandhogg”是一種古老的挪威策略,用于海岸線襲擊和綁架,今天的漏洞是2019年發(fā)現(xiàn)的一個類似的“邪惡雙胞胎”。
原Strandhogg使用Android的特性叫做taskAffinity劫持應(yīng)用程序設(shè)置taskAffinity匹配packageName活動之一的其他應(yīng)用程序,然后設(shè)置allowTaskReparenting = " true "自己的清單,Strandhogg應(yīng)用將在目標(biāo)應(yīng)用程序的地方。
想象一下,在你的手機上點擊合法的Gmail圖標(biāo),就會出現(xiàn)一個合法的登錄提示,像素對像素地顯示,就像你看到的賬戶已經(jīng)注銷一樣。你會輸入你的憑證嗎?如果您或您的孩子可能安裝的免費游戲或應(yīng)用程序之一是Strandhogg容器,那么您只需將您的憑據(jù)交給攻擊者—攻擊者甚至可能在測試您的憑據(jù)后立即啟動Gmail應(yīng)用程序本身,不會留下明顯的您已被攻擊的跡象。
Strandhogg 1.0的主要缺點是需要在Android Manifest中聲明taskAffinity。清單是一個普通的XML文件,必須包含在Play Store中托管的包中—不能在安裝應(yīng)用程序之后簡單地下載它。這使得在Play store中掃描帶有粗略的taskAffinity聲明的應(yīng)用程序變得相對簡單。
Strandhogg 2.0不需要在包的Android聲明中進行任何特殊設(shè)置——這意味著攻擊代碼根本不需要出現(xiàn)在Play Store中進行掃描。相反,一旦木馬程序或游戲已經(jīng)安裝在用戶的設(shè)備上,攻擊者可以在以后下載攻擊代碼。
除了明顯的證書竊取攻擊外,Strandhogg還可以用來欺騙用戶,讓他們基于對其劫持的應(yīng)用程序的信任而升級其特權(quán)。例如,當(dāng)用戶點擊攝像頭時,會被詢問是否愿意授予其訪問攝像頭和麥克風(fēng)的權(quán)限——如果用戶點擊同意,他們實際上已經(jīng)將這些權(quán)限授予了惡意軟件應(yīng)用程序,而不是屏幕上隱藏的攝像頭應(yīng)用程序。
老版本的Strandhogg 1.0漏洞沒有打補丁,而且很可能也不會打補丁——看起來谷歌更喜歡在上傳到play store的時候用狡猾的應(yīng)用程序來玩“打地鼠”,因為它可以直接在潛在的惡意軟件應(yīng)用程序清單中掃描該漏洞的漏洞。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。