图片来源：Bleeping Computer

你觉得从Google Play Store下载合法App就能高枕无忧吗？

黑客总能找到可以利用的漏洞。

甚至能够将合法的App变成窃取你的隐私数据的恶意软件。

能够伪装的漏洞

研究人员在Android操作系统中发现一个最新漏洞，并命名为StrandHogg，攻击者可利用该漏洞伪装成合法的应用程序，目前已被BankBot等多个恶意木马积极利用。

这个漏洞的独特之处就在于“伪装”，并且伪装效果好到几乎察觉不到。

StrandHogg漏洞位于Android多任务处理系统中。攻击者可以滥用任务状态转换条件，无需root即可发起复杂的攻击，只需要利用taskAffinity和allowTaskReparenting，就能够让恶意程序伪装成手机上的任何应用，成功误导操作系统并启动欺骗性的界面。

换句话说，当用户点击合法应用程序的图标时，利用Strandhogg漏洞的恶意软件可以拦截并劫持此任务，以向用户显示假界面，而不是启动合法应用程序。

影响及预防

需要注意的是，该漏洞会影响所有的Android操作系统版本。研究人员发现了36个正在利用此漏洞的恶意应用程序，其中包括早在2017年发现的BankBot银行木马变种。

这些恶意程序的分发途径一共有两种，一种是利用漏洞删除手机上原本的合法程序，另一方法是伪装成合法程序在应用商店等待下载者上钩。

目前，Google Play Store已经将这些恶意程序删除。

 
一旦攻击者设法利用StrandHogg感染设备，就可以利用合法应用来请求任何许可，接下来就可以为所欲为了。

由于攻击者可以获得任何Android权限，因此可以收集各种数据：

• 通过麦克风监听用户
• 通过相机拍照
• 收取和发送消息
• 读取通话记录或拨号
• 获取登录凭据
• 访问设备上所有私人照片和文件
• 获取位置和GPS信息
• 访问联系人列表

该漏洞的影响范围空前，并且由于攻击手法十分隐蔽，目标用户几乎不可能察觉，目前没有可靠的办法检测攻击者是否利用StrandHogg，在漏洞修复之前也没有办法阻止这种攻击，作为Android用户，可以做到以下几点来规避风险。

• 注意要求你重新登录的应用程序
• 注意应用程序的权限请求弹框是否包含应用名称
• 注意应用程序是否请求不必要的权限，例如请求GPS许可的计算器应用程序
• 注意应用程序是否有无法正常点击的按钮和链接
• 后退按钮无法正常工作

* 本文由看雪编辑 LYA 编译自 Bleeping Computer，转载请注明来源及作者。

* 原文链接：

https://www.bleepingcomputer.com/news/security/actively-exploited-strandhogg-vulnerability-affects-android-os/