SafeWos是一个专业解决安全问题的运维顾问服务平台,专为企业安全定制。
据ZDNe报道,挪威安全公司Promon的研究人员安全研究人员在安卓系统上发现了一个新的还没有被修复的漏洞,这个漏洞被称为Strandhogg。
Promon 研究人员表示:
" 这个漏洞可以使攻击者能够成功地伪装成几乎所有应用程序。在这个示例中,攻击者通过利用如 taskAffinity 和 allowTaskReparenting 等的任务状态转换条件,成功地骗过系统并启动了虚假的界面。当受害者在这个假界面中输入他们的登录信息时,攻击者会立即收到这些信息,随后可以登录并控制那些应用程序。"
" 攻击者可以要求获得任何权限,包括 SMS、照片、麦克风和 GPS 定位,从而允许他们读取设置中的短信、查看照片、窃听并且跟踪受害者。"
ZDNet 引述研究人员表述,Promon 在今年夏天已向 Google 通报这个漏洞,但 Google 至今仍未修补,因此决定向大众公布次漏洞。研究人员透露,现在所有的 Android 版本都有此漏洞,包括最新推出的 Android 10。
研究人员亦表示,有 36 款恶意软件已开始利用此漏洞,当中包括著名的 BankBot 木马。该木马能伪装成合法的银行应用软件,盗取用户密码,甚至拦截银行传送给用户的短信,避开双重认证步骤。
该研究还称,目前没有任何可靠的方法来阻止或者探测到这种任务劫持攻击,不过用户可以通过注意任何异常情况来发现这类攻击,例如已经登录的应用要求再次登录、不包含应用程序名称的要求授权窗口、应用程序请求不应该需要的权限、用户界面中的按钮和链接点不了没反应,以及返回键失效了。
客服电话:159-6020-8552
工作时间:9:00-18:00 (工作日)
意见建议:safewos@qq.com