安卓又現漏洞，黑客可以竊聽甚至跟蹤用戶

[釘科技編譯]據ZDNe報道，挪威安全公司Promon的研究人員安全研究人員在安卓系統上發現了一個新的還沒有被修復的漏洞，這個漏洞被稱為Strandhogg。

Promon研究人員表示：

“這個漏洞可以使攻擊者能夠成功地偽裝成幾乎所有應用程序。在這個示例中，攻擊者通過利用如taskAffinity和allowTaskReparenting等的任務狀態轉換條件，成功地騙過系統并啟動了虛假的界面。當受害者在這個假界面中輸入他們的登錄信息時，攻擊者會立即收到這些信息，隨后可以登錄并控制那些應用程序。”

“攻擊者可以要求獲得任何權限，包括SMS、照片、麥克風和GPS定位，從而允許他們讀取設置中的短信、查看照片、竊聽并且跟蹤受害者。”

ZDNet引述研究人員表述，Promon在今年夏天已向Google通報這個漏洞，但Google至今仍未修補，因此決定向大眾公布次漏洞。研究人員透露，現在所有的Android版本都有此漏洞，包括最新推出的Android 10。

研究人員亦表示，有36款惡意軟件已開始利用此漏洞，當中包括著名的BankBot木馬。該木馬能偽裝成合法的銀行應用軟件，盜取用戶密碼，甚至攔截銀行傳送給用戶的短信，避開雙重認證步驟。

該研究還稱，目前沒有任何可靠的方法來阻止或者探測到這種任務劫持攻擊，不過用戶可以通過注意任何異常情況來發現這類攻擊，例如已經登錄的應用要求再次登錄、不包含應用程序名稱的要求授權窗口、應用程序請求不應該需要的權限、用戶界面中的按鈕和鏈接點不了沒反應，以及返回鍵失效了。

（釘科技編譯，編譯來源：https://www.zdnet.com/article/android-new-strandhogg-vulnerability-is-being-exploited-in-the-wild/）

相關搜索

• 應用程序未安裝
• 什么是應用程序
• 黑客如何發現漏洞