安卓新漏洞发布 500个最受欢迎的应用易遭攻击

这个最新发现被利用的漏洞名为StrandHogg。

其独特之处在于，无需根植设备即可进行复杂的攻击，并利用安卓多任务处理系统中的一个弱点实施强大的攻击，使恶意应用程序像设备上的其他任何应用程序一样进行伪装。

StrandHogg其实是OS多任务处理组件中的一个错误，这种机制使安卓操作系统可以一次运行多个进程，并在应用程序进入或退出用户视图时在它们之间切换。当用户启动另一个应用程序时，通过任务重做功能，安装在Android手机上的恶意应用程序就可以利用StrandHogg错误来触发恶意代码。

Promon称，该漏洞利用基于一个名为'taskAffinity'的安卓控制设置，该设置允许任何应用程序（包括恶意应用程序）在攻击者想要的多任务系统中自由地假定任何身份。

此外，该漏洞无需root权限即可被植入手机任意App当中。目前，BankBot银行木马已经集成了该漏洞功能，这意味着或许一款应用就可以在无声无息间清空你的个人账户。

Promon称，这一发现已经在2019年夏季便告知了谷歌，但至今谷歌尚未在任何版本的安卓上解决此问题，致使安卓用户直接暴露于旨在滥用它的恶意软件中。

虽然目前尚无野外利用StrandHogg的恶意应用被发现，但Promon研究人员指出，虽然这些程序已被Google从Play商店中删除，但这些恶意软件样本是通过恶意软件删除程序和下载程序分发的，其传播并不受影响。

Promon称，一旦攻击者设法利用StrandHogg的恶意软件感染设备，攻击者就可以伪装成合法应用程序来请求任何许可以提高其数据收集能力，或诱骗受害者通过屏幕覆盖图来移交银行或登录凭据等敏感信息。

由于攻击者可以访问任何安卓权限，因此他们可以执行各种数据收集操作，从而使他们能够：通过麦克风收听用户通过相机拍照阅读和发送SMS消息进行和/或记录电话对话网络钓鱼登录凭据访问设备上所有私人照片和文件获取位置和GPS信息访问联系人列表访问电话日志

Promon首席技术官汤姆·莱塞米塞·汉森（Tom Lysemose Hansen）称，我们有明确的证据表明，攻击者正在利用StrandHogg窃取机密信息。从严重程度上来看，这种潜在的影响可能是空前的，因为默认情况下大多数应用程序都容易受到攻击，而所有安卓版本都受到影响。

根据Promon的说法，目前没有可靠的方法来检测StrandHogg是否在安卓设备上被利用，也没有办法阻止这种攻击。

尽管如此，用户可能仍会在使用智能手机时注意到各种差异。例如，手机中的应用程序会要求重新登陆账户、应用程序名称的权限弹出窗口被取消、被要求解开某些应用程序的权限设置、错别字和UI错误以及出现无法正常工作的按钮。