一家挪威的infosec公司发现了一个新的Android漏洞,他们将其命名为Strandhogg 2.0。安全公司Promon说,“Strandhogg”是一种古老的挪威策略,用于海岸线袭击和绑架,今天的漏洞是2019年发现的一个类似的“邪恶双胞胎”。
原Strandhogg使用Android的特性叫做taskAffinity劫持应用程序设置taskAffinity匹配packageName活动之一的其他应用程序,然后设置allowTaskReparenting = ” true “自己的清单,Strandhogg应用将在目标应用程序的地方。
想象一下,在你的手机上点击合法的Gmail图标,就会出现一个合法的登录提示,像素对像素地显示,就像你看到的账户已经注销一样。你会输入你的凭证吗?如果您或您的孩子可能安装的免费游戏或应用程序之一是Strandhogg容器,那么您只需将您的凭据交给攻击者—攻击者甚至可能在测试您的凭据后立即启动Gmail应用程序本身,不会留下明显的您已被攻击的迹象。
Strandhogg 1.0的主要缺点是需要在Android Manifest中声明taskAffinity。清单是一个普通的XML文件,必须包含在Play Store中托管的包中—不能在安装应用程序之后简单地下载它。这使得在Play store中扫描带有粗略的taskAffinity声明的应用程序变得相对简单。
Strandhogg 2.0不需要在包的Android声明中进行任何特殊设置——这意味着攻击代码根本不需要出现在Play Store中进行扫描。相反,一旦木马程序或游戏已经安装在用户的设备上,攻击者可以在以后下载攻击代码。
除了明显的证书窃取攻击外,Strandhogg还可以用来欺骗用户,让他们基于对其劫持的应用程序的信任而升级其特权。例如,当用户点击摄像头时,会被询问是否愿意授予其访问摄像头和麦克风的权限——如果用户点击同意,他们实际上已经将这些权限授予了恶意软件应用程序,而不是屏幕上隐藏的摄像头应用程序。
老版本的Strandhogg 1.0漏洞没有打补丁,而且很可能也不会打补丁——看起来谷歌更喜欢在上传到play store的时候用狡猾的应用程序来玩“打地鼠”,因为它可以直接在潜在的恶意软件应用程序清单中扫描该漏洞的漏洞。