首页
论坛
专栏
课程
CTF
CTF竞赛
题库
看雪20年
企服
招聘
发现
众测
排行榜
知识库
工具下载
看雪峰会
看雪商城
登录
注册
首页
论坛
专栏
课程
发现
企服
招聘
CTF
题库
众测
排行榜
知识库
工具下载
看雪峰会
看雪20年
看雪商城
手机里的伪装者:利用最新Android漏洞StrandHogg可冒充合法软件
Editor
发布于
看雪学院
2019-12-03 18:18
11874
图片来源:Bleeping Computer
你觉得从Google Play Store下载合法App就能高枕无忧吗?
黑客总能找到可以利用的漏洞。
甚至能够将合法的App变成窃取你的隐私数据的恶意软件。
能够伪装的漏洞
研究人员在Android操作系统中发现一个最新漏洞,并命名为StrandHogg,攻击者可利用该漏洞伪装成合法的应用程序,目前已被BankBot等多个恶意木马积极利用。
这个漏洞的独特之处就在于“伪装”,并且伪装效果好到几乎察觉不到。
StrandHogg漏洞位于Android多任务处理系统中。攻击者可以滥用任务状态转换条件,无需root即可发起复杂的攻击,只需要利用taskAffinity和allowTaskReparenting,就能够让恶意程序伪装成手机上的任何应用,成功误导操作系统并启动欺骗性的界面。
换句话说,当用户点击合法应用程序的图标时,利用Strandhogg漏洞的恶意软件可以拦截并劫持此任务,以向用户显示假界面,而不是启动合法应用程序。
影响及预防
需要注意的是,该漏洞会影响所有的Android操作系统版本。研究人员发现了36个正在利用此漏洞的恶意应用程序,其中包括早在2017年发现的BankBot银行木马变种。
这些恶意程序的分发途径一共有两种,一种是利用漏洞删除手机上原本的合法程序,另一方法是伪装成合法程序在应用商店等待下载者上钩。
目前,Google Play Store已经将这些恶意程序删除。
一旦攻击者设法利用StrandHogg感染设备,就可以利用合法应用来请求任何许可,接下来就可以为所欲为了。
由于攻击者可以获得任何Android权限,因此可以收集各种数据:
通过麦克风监听用户
通过相机拍照
收取和发送消息
读取通话记录或拨号
获取登录凭据
访问设备上所有私人照片和文件
获取位置和GPS信息
访问联系人列表
该漏洞的影响范围空前,并且由于攻击手法十分隐蔽,目标用户几乎不可能察觉,目前没有可靠的办法检测攻击者是否利用StrandHogg,在漏洞修复之前也没有办法阻止这种攻击,作为Android用户,可以做到以下几点来规避风险。
注意要求你重新登录的应用程序
注意应用程序的权限请求弹框是否包含应用名称
注意应用程序是否请求不必要的权限,例如请求GPS许可的计算器应用程序
注意应用程序是否有无法正常点击的按钮和链接
后退按钮无法正常工作
* 本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。
* 原文链接:
https://www.bleepingcomputer.com/news/security/actively-exploited-strandhogg-vulnerability-affects-android-os/
分享到:
最新评论
(
0
)
登录后即可评论
看雪学院
看雪学院官方专栏
1049
人关注
1144
篇文章
关注
热门文章
1
关于我们
看雪学院(www.kanxue.com)是一个专注于PC、移动、智能设备安全研究及逆向工程的开发者社区!成立于2000年,经历了二十年的磨砺, 见证了国内安全行业的发展,被誉为安全界的黄埔军校。 为了更好地发展看雪学院,2016年公司化运营,创建上海...
2
段钢:自从那个冬夜看雪,一晃已是十六年 | 人物
最近,一则消息引爆了朋友圈,看雪学院获得了永州创投的500万元天使轮投资,作为安全圈内最资深的安全论坛之一,16年来看雪学院滋养了大量安全技术爱好者,被誉为中国软件安全的黄埔军校,今天在盛大全球研发中心一楼咖啡厅,我们见到了看雪学院的掌门人——段钢(k...
3
看雪渗透测试服务介绍
看雪学院(www.kanxue.com)——安全界的黄埔军校。它是中国最早的安全工程师交流学习论坛,通过十七年的发展在行业内树立了令人尊敬的专业形象。 看雪学院拥有一支值得信赖的专家团队,具有深厚的安全行业经验。在渗透测试完成后,可对用户提出可实施性...
4
《2019补天白帽大会》——【Red Teaming 红队行动】分论坛 文字版实录
《2019补天白帽大会》 ——Red Teaming 红队行动时间:2019年5月29日(13:30-17:30)地点:上海雅居乐万豪酒店(5F)[正式开始]主持人:各位朋友们,下午好!欢迎大家来到补天白帽大会红队分论坛,这个论坛讨论的是“实战化安全...
5
WEB安全培训目录
培训团队:看雪学院(http://www.pediy.com),创建2000年,历经10多年的发展,受到业内的广泛认同,在行业中树立了令人尊敬的专业形象。网站始终关注安全技术领域的最新发展,培养了大批安全人才,使他们从普通IT爱好者成长为具有一技之长...
6
看雪安全编程培训目录
培训团队:看雪学院(http://www.pediy.com),创建2000年,历经10多年的发展,受到业内的广泛认同,在行业中树立了令人尊敬的专业形象。网站始终关注安全技术领域的最新发展,培养了大批安全人才,使他们从普通IT爱好者成长为具有一技之长...