Nieuwe versie Android-kwetsbaarheid Strandhogg is gemakkelijker uit te buiten
by Tijs HofmansEen Noors beveiligingsbedrijf heeft een manier gevonden om een eerder ontdekte kwetsbaarheid in Android gemakkelijker uit te buiten. Het gaat om Strandhogg 2.0, waarmee apps kunnen worden nagebootst om inloggegevens te stelen of permissies over te nemen.
Strandhogg 2.0 werd ontdekt door het Noorse beveiligingsbedrijf Promon en zou een spirituele opvolger zijn van Strandhogg, dat eind vorig jaar werd ontdekt. Strandhogg kon ook permissies van andere Android-apps overnemen. Het huidige onderzoek wijst op een kwetsbaarheid waarmee Strandhogg nog gemakkelijker uit te voeren is.
Strandhogg 2.0 maakt gebruik van dezelfde soort kwetsbaarheid als de originele versie, maar op een andere manier. Bij de originele malware werd een Android-feature genaamd taskAffinity uitgebuit. Die functie is bedoeld om sneller tussen apps te wisselen. Strandhogg is malware die taskAffinity kan gebruiken om een andere app na te bootsen door de packagenaam van een app te kopiëren. Zo kan de app zich bijvoorbeeld voordoen als een nagebootste bankapp, om op die manier inloggegevens te bemachtigen. Ook kon de geïnfecteerde app om bepaalde Android-permissies vragen, waarbij gebruikers dan dachten dat de permissies nodig waren voor de originele app.
De originele Strandhogg was relatief eenvoudig te blokkeren in de Play Store, doordat het gebruik van taskAffinity in het Android Manifest moest staan. Daarmee kon de kwetsbaarheid worden uitgebuit. Bij Strandhogg 2.0 gaat misbruik op een andere manier. Daarbij is het volgens Promon niet meer nodig om packages in het Android Manifest te manipuleren. De code om een gebruiker aan te vallen wordt namelijk pas achteraf gedownload.
:strip_exif()/i/2003619574.jpeg?f=imagenormal "https://tweakers.net/i/y-PkTmGI27dnxZA8iT2izWaH6Po=/656x/filters:strip_icc():strip_exif()/i/2003619574.jpeg?f=imagenormal")
Strandhogg 2.0 is bovendien wat gemakkelijker uit te buiten doordat de malware geen roottoegang nodig heeft om op de telefoon te draaien. Dat was bij het origineel nog wel een vereiste.
Het beveiligingsbedrijf heeft de kwetsbaarheid aan Google doorgegeven. Dat kwam in de April Update voor Android met een patch. Het lek heeft code CVE-2020-0096 meegekregen. Strandhogg 2.0 is niet uit te buiten op Android 10, maar wel op alle oudere versies.