安卓又現(xiàn)漏洞，黑客可以竊聽甚至跟蹤用戶

喜歡

來源：互聯(lián)網(wǎng)
|
2019-12-05
|
0 條評論
|
我要分享
|
T小字　 T大字

[釘科技編譯]據(jù)ZDNe報道，挪威安全公司Promon的研究人員安全研究人員在安卓系統(tǒng)上發(fā)現(xiàn)了一個新的還沒有被修復(fù)的漏洞，這個漏洞被稱為Strandhogg。

Promon研究人員表示：

“這個漏洞可以使攻擊者能夠成功地偽裝成幾乎所有應(yīng)用程序。在這個示例中，攻擊者通過利用如taskAffinity和allowTaskReparenting等的任務(wù)狀態(tài)轉(zhuǎn)換條件，成功地騙過系統(tǒng)并啟動了虛假的界面。當(dāng)受害者在這個假界面中輸入他們的登錄信息時，攻擊者會立即收到這些信息，隨后可以登錄并控制那些應(yīng)用程序。”

“攻擊者可以要求獲得任何權(quán)限，包括SMS、照片、麥克風(fēng)和GPS定位，從而允許他們讀取設(shè)置中的短信、查看照片、竊聽并且跟蹤受害者。”

ZDNet引述研究人員表述，Promon在今年夏天已向Google通報這個漏洞，但Google至今仍未修補，因此決定向大眾公布次漏洞。研究人員透露，現(xiàn)在所有的Android版本都有此漏洞，包括最新推出的Android 10。

研究人員亦表示，有36款惡意軟件已開始利用此漏洞，當(dāng)中包括著名的BankBot木馬。該木馬能偽裝成合法的銀行應(yīng)用軟件，盜取用戶密碼，甚至攔截銀行傳送給用戶的短信，避開雙重認證步驟。

該研究還稱，目前沒有任何可靠的方法來阻止或者探測到這種任務(wù)劫持攻擊，不過用戶可以通過注意任何異常情況來發(fā)現(xiàn)這類攻擊，例如已經(jīng)登錄的應(yīng)用要求再次登錄、不包含應(yīng)用程序名稱的要求授權(quán)窗口、應(yīng)用程序請求不應(yīng)該需要的權(quán)限、用戶界面中的按鈕和鏈接點不了沒反應(yīng)，以及返回鍵失效了。

（釘科技編譯，編譯來源：https://www.zdnet.com/article/android-new-strandhogg-vulnerability-is-being-exploited-in-the-wild/）