歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Strandhogg漏洞:Android系統上的維京海盜

來源:本站整理 作者:佚名 時間:2019-12-04 TAG: 我要投稿

大家好,我是零日情報局。
當銀行卡余額神秘消失,懵不。
這次跟大家說說新型Android應用漏洞,不僅能讓銀行卡余額消失,還會偷拍監聽的那種。
昨天下午,挪威一家安全公司披露了一個Android應用漏洞,并用描述維京海盜突襲戰術的單詞StrandHogg對其命名。值得慶幸的是,谷歌已采取措施解決該漏洞,并暫停了受影響的應用程序。
至于銀行卡余額神秘消失事件,就發生在捷克共和國的多家銀行。不法攻擊者利用StrandHogg漏洞,使用BankBot銀行木馬等惡意軟件,悄無聲息地盜走多家銀行用戶的卡內余額,引發東歐金融機構安全服務商的多方求助。
 
StrandHogg:維京海盜式Android應用漏洞
StrandHogg是一個存在于Android多任務系統中的應用漏洞。該漏洞利用則是基于一個名為“taskAffinity”的Android控件設置,允許包括惡意應用在內的任意程序,隨意采用多任務處理系統中的任何身份。
從零日核實的情況來看,StrandHogg漏洞確實存在于Android的多任務系統中,一旦已安裝惡意程序利用,就能讓惡意程序順利偽裝合法應用,獲得更高的權限,竊取信息或進行任意惡意操作。

簡單來說,就是中招后,當我們點開一個正常應用程序的圖標時,利用Strandhogg漏洞的惡意應用可以攔截劫持這個任務,并向用戶顯示一個虛假的應用界面。
這時,不明真相的你,會毫無防范的在一個虛假的界面,安心地輸入賬號、密碼,以及進行任意操作。殊不知,那些涉及你隱私的敏感信息,輸入后都會第一時間發送給攻擊者,攻擊者利用這些敏感信息,能做的是事情就多了。
也許登錄銀行賬戶,竊取錢財反倒是傷害相對較小的攻擊。
 
利用StrandHogg能做哪些事?
訪問攝像頭和麥克風,獲取設備的位置,讀取SMS,捕獲登錄憑據(包括通過SMS的2FA代碼),訪問私人照片和視頻,訪問聯系人……這些看似基本但關系手機安全閉環的功能,只要成功利用Strandhogg漏洞,惡意應用都可以請求上述權限。

簡言之,Strandhogg漏洞讓我們的手機不再對惡意應用設防,且這種不設防,我們無從得知何時開啟。零日驗證該漏洞時,就成功將惡意程序偽裝成一合法應用,獲得了測試目標的定位,當然,僅用于測試,大家不要隨意嘗試。

略讓人恐慌的是,包括最新Android10在內的所有Android版本,都存Strandhogg漏洞。隨后,零日逐一驗證后發現,GooglePlay商店內可用的前500個Android應用程序,確如挪威安全公司說的那樣,都可通過StrandHogg攻擊劫持所有應用程序的進程以執行惡意操作。
 
維京海盜StrandHogg的獨特之處
1、無需root上演復雜攻擊:StrandHogg漏洞之所以獨特,主要是因為它最大限度地利用了Android多任務系統弱點,無需root既可允許惡意程序偽裝成設備上的任意程序,幫助黑客實施復雜且高危的攻擊。
2、無法檢測Stranghodd漏洞利用:有攻就有防,但很不幸的是,截至目前,針對Stranghodd漏洞利用的阻止方式,甚至是相對可靠的檢測方法,都還沒有出現。普通用戶只能通過一些不鮮明的異常發現問題,比如已登錄的應用要求登錄、單擊用戶界面按鈕鏈接時不起作用,或者后退按鈕無法正常工作。
3、擴大UI欺騙風險:UI欺騙,很多人聽說過。甚至早在2015年,賓夕法尼亞州立大學就曾以白皮書的形式,詳細介紹了可用于UI欺騙的理論攻擊。而StrandHogg漏洞的出現,多個程序同時遭劫持等情況,若不加以有效控制,一旦大范圍擴散,都將進一步擴大UI欺騙風險。
并不是所有被發現的漏洞,都會被利用,但攻擊者絕不會放過那些有價值的漏洞。
挪威安全公司就明確指出,目前已發現36個野外利用StrandHogg漏洞的應用程序,雖然這些應用都不能直接通過googlePlay商店下載安裝,但并不能保證用戶下載的應用程序是否曾經感染過,因為這36個應用程序作為第二階段的有效負載,已經安裝在了一些用戶的設備上。
 
StrandHogg漏洞利用樣本再現
不同于提權等相對熟悉的漏洞,Strandhogg漏洞的威脅層級其實并不能清晰的界定,因為它的存在更像給惡意程序開了一道門,至于被利用后帶來的是小威脅,還是大震蕩,關鍵要看惡意程序本身是威脅層級。
挪威安全公司披露StrandHogg漏洞信息時,就以第一次監測到利用StrandHogg漏洞的惡意軟件為樣本,復現了惡意軟件利用StrandHogg漏洞的主要策略。
1、惡意程序利用GooglePlay分發
通常情況下,正常程序多數都會入駐Google Play,而利用StrandHogg漏洞的惡意程序,則通過多個惡意下載器安裝,但會選擇在Google Play上進行分發擴散。

從代碼部分可以看到,當惡意應用在一個或多個活動上設置taskAffinity,以匹配任何第三方應用的packageName時,漏洞利用就會發揮作用。然后,通過與清單中的allowTaskReparenting=“true”組合,或通過使用Intent.FLAG_ACTIVITY_NEW_TASK的intent標志啟動活動,將惡意活動置于目標任務的內部和頂部。
這時,惡意應用就成功劫持了目標,而當用戶再一次點開目標應用時,惡意程序就會偽裝成正常程序,顯示使用界面迷惑用戶。
2、偽裝多個正常程序
同時開N個應用,是現代人的日常,而在StrandHogg漏洞利用威脅下,Android的多任務處理系統也給惡意程序打開方便之門。在同一時間推出兩個(或更多)活動android.app.Activity#startActivities(android.content.Intent []),惡意程序就可以利用StrandHogg漏洞。在后臺同時偽裝成兩款正常應用作惡。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 昆明快餐女一般多少钱 浙江体彩泳坛夺金 福彩29选7一等奖 吉林11选5开奖结 广州沐足堂有没有飞机 宁夏11选五开奖结果组三 35选7达芬奇密码 喜迎棋牌? 免费麻将游戏大全 江苏老11选5走势图 河北11选5今天开 河北20选5预测 英超联赛直播 吉祥棋牌斗地主? 宝博大厅官方下载安装 天津十一选五开奖走势