Pár napja A Promon biztonsági cég kutatói szabadon engedték azáltal, hogy közzéteszed a blogodon Android-telefonok millióit érintő sebezhetőség. Ezt a feltárt biztonsági rést a fertőzött felhasználók bankszámlájának kiürítésére tervezett rosszindulatú szoftverek aktívan használják.
Ez a sebezhetőség lehetővé teszi a rosszindulatú alkalmazások számára, hogy jogos alkalmazásoknak tegyék ki magukat hogy a célpontok már telepítve vannak és megbíznak. Ez a sebezhetőség lehetővé teszi egy rosszindulatú alkalmazás számára engedélyek kérését miközben jogos alkalmazásként pózol. A támadó hozzáférést kérhet minden engedélyhez, beleértve az SMS-eket, fotókat, mikrofont és GPS-t is, lehetővé téve számára üzenetek olvasását, fotók megtekintését, beszélgetések meghallgatását és az áldozat mozgásának nyomon követését.
A biztonsági rés kihasználásával az eszközre telepített rosszindulatú alkalmazás csapdába ejtheti a felhasználót, ezért amikor egy törvényes alkalmazás ikonjára kattint, az valójában egy rosszindulatú verzió jelenik meg a képernyőn.
Amikor az áldozat beírja bejelentkezési adatait ezen a felületen, a bizalmas információkat azonnal elküldik a támadónak, aki ezután összekapcsolhatja és vezérelheti azokat az alkalmazásokat, amelyek érzékeny információkat tartalmazhatnak.
A sebezhetőséget StrandHogg-nak hívták utalva egy régi skandinávra, amely viking taktikát tűzött ki a part menti területek megtámadására, hogy embereket zsákmányoljon és őrizetbe vegyen mentés céljából.
„A StrandHogg egyedülálló, mert kifinomult támadásokat tesz lehetővé anélkül, hogy egy eszközt ki kellene gyökereznie, az Android multitasking rendszer gyengeségét kihasználva erőteljes támadásokat indít, amelyek lehetővé teszik a rosszindulatú alkalmazások számára, hogy a készülék bármely más alkalmazásának tegyék ki magukat.
„A Promon olyan valós rosszindulatú programokat kutatott, amelyek kihasználják ezt a súlyos sebezhetőséget, és megállapította, hogy az 500 legnépszerűbb alkalmazás (amelyet a 42 Témabarométer rangsorol) sebezhetőek, és az Android összes verziója érintett.
A maga részéről A Lookout, a mobil biztonsági szolgáltató és a Promon partnere bejelentette, hogy 36 olyan alkalmazást talált, amely kihasználta a biztonsági rést személyazonosság-lopás. A rosszindulatú alkalmazások tartalmazzák a BankBot banki trójai változatát. A BankBot 2017 óta aktív, és a rosszindulatú programokat tartalmazó alkalmazásokat többször megtalálták a Google Play piacon.
A biztonsági rés súlyosabb a 6–10. Verzióban, amely a világon az Android telefonok körülbelül 80% -át teszi ki. Ezen verziók támadásai lehetővé teszik a rosszindulatú alkalmazások számára engedélyek kérését, miközben jogos alkalmazásokként mutatják be magukat.
Nincsenek korlátozva azok az engedélyek, amelyekben ezek a rosszindulatú alkalmazások kereshetnek. A szöveges üzenetekhez, fotókhoz, mikrofonhoz, kamerához és GPS-hez való hozzáférés a lehetséges engedélyek egy része. A felhasználó egyetlen védelme az, hogy a "nem" gombra kattint a kéréseknél.
A sérülékenység a TaskAffinity néven ismert funkcióban található, egy multitasking funkció, amely lehetővé teszi az alkalmazások számára, hogy más alkalmazásokat vagy feladatokat azonosítsanak többfeladatos környezetben fut.
A rosszindulatú alkalmazások kihasználhatják ezt a funkciót a TaskAffinity meghatározása egy vagy több tevékenységéhez, hogy megfeleljen egy megbízható, harmadik féltől származó alkalmazás csomagnevének.
Promon szerint a Google eltávolította az alkalmazásokat rosszindulatú a Play Sotre-tól, de egyelőre úgy tűnik, hogy a sebezhetőséget nem javították az Android összes verzióján. A Google képviselői nem válaszoltak a biztonsági rés megszüntetésének idejére, a kihasznált Google Play-alkalmazások számára vagy az érintett végfelhasználók számára.
A StrandHogg jelenti a legnagyobb veszélyt a kevésbé tapasztalt felhasználók számáratehát olyan kognitív vagy egyéb fogyatékossággal élők, amelyek megnehezítik az alkalmazások finom viselkedésének fokozott figyelését.
Ennek ellenére a felhasználók számos dolgot megtehetnek a rosszindulatú alkalmazások felderítésére. megpróbálja kihasználni a sérülékenységet. A gyanús jelek a következők:
- Egy alkalmazáshoz vagy szolgáltatáshoz, amelyhez már csatlakozott, be kell jelentkeznie.
- Engedélyezési előugró ablakok, amelyek nem tartalmazzák az alkalmazás nevét.
- Olyan alkalmazások kért engedélyei, amelyek nem igényelhetik vagy igényelhetik a kért engedélyeket. Például egy GPS-engedélyt kérő számológép-alkalmazás.
- Tipográfiai hibák és hibák a felhasználói felületen.
- Gombok és linkek a felhasználói felületen, amelyek semmit sem tesznek, ha rákattintanak.
- A Vissza gomb nem a várt módon működik.
forrás: https://promon.co