https://s4.itho.me/sites/default/files/styles/picture_size_large/public/field/image/0527-strandhogg_2.jpg?itok=8aSw1anl
揭露StrandHogg2.0漏洞的Promon指出,當使用者於Android裝置上安裝了開採StrandHogg 2.0的惡意程式之後,在使用者開啟合法程式時,跳出的即會是惡意程式的權限詢問視窗,使用者通常會以為這是合法程式所需要的權限而同意授權,而且之後會再導回合法程式頁面。(圖片來源/Promon)

Android平臺出現重大的StrandHogg 2.0漏洞

相較於去年底被揭發的StrandHogg 1.0漏洞,一次只能用來攻擊一個Android程式,Google在今年5月修補的StrandHogg 2.0,得以讓駭客同時攻擊裝置上任何程式,影響Android 9及之前的作業系統

by

在去年底揭露Android平臺重大StrandHogg漏洞的挪威資安業者Promon,在本周公布了更危險、也更難偵測的StrandHogg 2.0漏洞,它能藏身於Android手機上的任何程式,竊取使用者所輸入的憑證,由於行徑與StrandHogg類似,而被命名為StrandHogg 2.0,幸好Google已在今年5月修補了此一編號為CVE-2020-0096的安全漏洞。

StrandHogg 1.0開採的是Android多工系統中的taskAffinity控制設定漏洞,只要使用者在Android裝置上安裝了開採該漏洞的惡意程式,它就能挾持裝置上各種合法程式的任務,以合法程式名義取得各種權限。至於StrandHogg 2.0開採的則是Android平臺上的權限擴張漏洞,它透過反射(reflection)來執行,允許惡意程式藏身在各種合法程式之後,以取得某些原本應賦予合法程式的權限。

這兩個漏洞的性質很像,都允許惡意程式藏身在合法程式之後,並取得各種權限,因而可竊聽使用者的麥克風、拍照、讀取或傳送簡訊、盜走程式登入憑證、存取裝置上的照片或檔案、取得GPS與位置資訊,或者是存取通訊錄與電話紀錄。

相異之處在於它們屬於不同的漏洞,StrandHogg 1.0會留下蹤跡,StrandHogg 2.0卻難以察覺,此外,StrandHogg 1.0漏洞一次只能用來攻擊一個程式,但StrandHogg 2.0漏洞卻只要一個按鍵,就能同時攻擊裝置上的所有程式。

當使用者於Android裝置上安裝了開採StrandHogg 2.0的惡意程式之後,在使用者開啟合法程式時,跳出的即會是惡意程式的權限詢問視窗,使用者通常會以為這是合法程式所需要的權限而同意授權,而且之後會再導回合法程式頁面;倘若使用者開啟的是金融程式,惡意程式也可跳出登入畫面,並將使用者所輸入的憑證傳送到駭客伺服器上,繼之再導回合法程式頁面。

其實Promon在去年12月,幾乎是同時發現StrandHogg 1.0與StrandHogg 2.0漏洞,只是當時StrandHogg 1.0已遭駭客開採,至少已出現36個開採該漏洞的惡意程式,不得不在Google尚未修補前立即揭露;反之StrandHogg 2.0則尚未被開採,讓Promon決定在Google修補後才公布,迄今Promon仍未看到有任何利用StrandHogg 2.0的惡意程式。

StrandHogg 2.0影響Android 9及之前的作業系統,並未波及最新的Android 10,儘管如此,依然有大量的Android裝置含有該風險,因為根據Google的統計,只有8.2%的Android裝置採用Android 10。