新的Android漏洞Strandhogg 2.0利用了用戶的信任

一家挪威的infosec公司發(fā)現(xiàn)了一個(gè)新的Android漏洞，他們將其命名為Strandhogg 2.0。安全公司Promon說(shuō)，“Strandhogg”是一種古老的挪威策略，用于海岸線襲擊和綁架，今天的漏洞是2019年發(fā)現(xiàn)的一個(gè)類似的“邪惡雙胞胎”。

原Strandhogg使用Android的特性叫做taskAffinity劫持應(yīng)用程序設(shè)置taskAffinity匹配packageName活動(dòng)之一的其他應(yīng)用程序,然后設(shè)置allowTaskReparenting = " true "自己的清單,Strandhogg應(yīng)用將在目標(biāo)應(yīng)用程序的地方。

想象一下，在你的手機(jī)上點(diǎn)擊合法的Gmail圖標(biāo)，就會(huì)出現(xiàn)一個(gè)合法的登錄提示，像素對(duì)像素地顯示，就像你看到的賬戶已經(jīng)注銷一樣。你會(huì)輸入你的憑證嗎?如果您或您的孩子可能安裝的免費(fèi)游戲或應(yīng)用程序之一是Strandhogg容器，那么您只需將您的憑據(jù)交給攻擊者—攻擊者甚至可能在測(cè)試您的憑據(jù)后立即啟動(dòng)Gmail應(yīng)用程序本身，不會(huì)留下明顯的您已被攻擊的跡象。

Strandhogg 1.0的主要缺點(diǎn)是需要在Android Manifest中聲明taskAffinity。清單是一個(gè)普通的XML文件，必須包含在Play Store中托管的包中—不能在安裝應(yīng)用程序之后簡(jiǎn)單地下載它。這使得在Play store中掃描帶有粗略的taskAffinity聲明的應(yīng)用程序變得相對(duì)簡(jiǎn)單。

Strandhogg 2.0不需要在包的Android聲明中進(jìn)行任何特殊設(shè)置——這意味著攻擊代碼根本不需要出現(xiàn)在Play Store中進(jìn)行掃描。相反，一旦木馬程序或游戲已經(jīng)安裝在用戶的設(shè)備上，攻擊者可以在以后下載攻擊代碼。

除了明顯的證書竊取攻擊外，Strandhogg還可以用來(lái)欺騙用戶，讓他們基于對(duì)其劫持的應(yīng)用程序的信任而升級(jí)其特權(quán)。例如，當(dāng)用戶點(diǎn)擊攝像頭時(shí)，會(huì)被詢問(wèn)是否愿意授予其訪問(wèn)攝像頭和麥克風(fēng)的權(quán)限——如果用戶點(diǎn)擊同意，他們實(shí)際上已經(jīng)將這些權(quán)限授予了惡意軟件應(yīng)用程序，而不是屏幕上隱藏的攝像頭應(yīng)用程序。

老版本的Strandhogg 1.0漏洞沒(méi)有打補(bǔ)丁，而且很可能也不會(huì)打補(bǔ)丁——看起來(lái)谷歌更喜歡在上傳到play store的時(shí)候用狡猾的應(yīng)用程序來(lái)玩“打地鼠”，因?yàn)樗梢灾苯釉跐撛诘膼阂廛浖?yīng)用程序清單中掃描該漏洞的漏洞。