欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全预警正文

StrandHogg安卓破绽剖析

b9e08c31ae1faa592019-12-0562漏洞

Promon平安研究人员发明了一个风险的安卓破绽——StrandHogg。进击者应用该破绽能够将歹意软件伪装成正当的APP,而且用户并不会意想到本身被进击了。该破绽影响一切的安卓版本,包含最新的安卓 10,研究人员同时发明有36个歹意app正在应用该破绽,同时top 500的app都处于风险中。

破绽概况

破绽概述

StrandHogg是一种唯一且奇特的进击方式,能够在无需装备root权限的状况下对装备提议庞杂的进击。该破绽应用安卓多任务体系中的缺点来使歹意app能够伪装成装备中的其他app来提议进击。该破绽应用是基于taskAffinity的,该安卓掌握装备许可恣意app(包含歹意app)在多任务体系中自在显现为恣意身份。

进击者经由过程猎取风险的权限来完成这一目标。

请求权限

破绽使得歹意app能够在伪装成正当app时请求差别的权限。进击者能够请求恣意权限,包含SMS、照片、麦克风、GPS,经由过程请求的这些权限能够读取音讯、检察照片、举行盗取和纪录受害者的挪动。

进击运动中,进击者会将请求的app设置为相似app所请求的权限,以下降受害者疑心的大概性。用户大概并不会意想到本身授与了歹意app权限,也不会意想到他们运用的实在不是实在的APP。

垂纶进击

StrandHogg安卓破绽剖析  漏洞 第1张

经由过程应用该破绽,歹意APP能够对装备举行进击,而且当正当app的图标被点击时,翻开的实际上是歹意app。当受害者输入上岸凭据时,这些信息就会被网络并发送给进击者,然后进击者能够应用这些敏感信息来掌握相干的app。

进击者应用该破绽能够:

· 经由过程麦克风监听用户

· 经由过程摄像头照相

· 读取和发送SMS音讯

· 打电话和对电话就行灌音

深入探寻离地攻击Living-off-the-land二进制文件 一、概述 攻击者所使用的技术总是循环往复的。近期,我们发现攻击者所使用的一种流行技术,被称为离地攻击(living-off-the-land)二进制文件,或者简称为“LoLBins”。不同的攻击者经常使用LoLBins技术,将无文件的恶意软件与合法的云服务相结合,从而提升攻击活动(通常是在后漏洞利用阶段)未被发现的概率。 使用离地攻击策略,就表明攻击者需要使用预先安装好的工具来执行其工作。这会让防御者更难检测到攻击,同时也会让研究人员更难识别出恶意活动背后的攻击者是谁。在我们监测到的攻击活动中,我们在受害者的操作系统上找到了一些二进制文件,这些二进制文件原本是用于合法目的,但在这些场景中它们被攻击者滥用。 在这篇文章中,我们将主要研究LOLBins的使用,此外还将介绍最经常会被攻击者滥用的Windows系统二进制文

· 举行上岸凭据垂纶

· 猎取装备上一切的私有照片和文件

· 猎取位置和GPS信息

· 接见联系人列表

· 接见手机日记

破绽影响

该破绽影响一切的安卓版本(安卓6——安卓10),包含最新的安卓 10,Lookout研究人员发明有36个歹意app正在应用该破绽,同时Promon 研究人员测试发明top 500的app险些都受到该破绽的影响。虽然Google已从Google play中删除了这些歹意app,然则该破绽现在还没有被修复。

Promon恪守了Google 90天的破绽宣布划定规矩,在今年夏天就将破绽报告给了Google,但现在依然没有破绽修复的相干音讯。

怎样检测?

现在还没有有用的检测要领来检测是不是有歹意app在应用StrandHogg破绽。但如果有歹意app应用该破绽,用户在运用安卓装备过程当中大概会发明一些差别:

· 已登录的app或效劳再次请求登录。

· 没有应用程序称号的权限弹出窗口。

· 从应用程序请求的权限来看,该权限并不需要。比方,计算器请求GPS权限。

· 用户界面中的错字或拼写错误。

· 用户界面中的按钮和链接在单击时不起作用。

· 退却按钮没法一般事情。

经由过程近来运动来封闭歹意APP是一种有用的要领,但进击者也大概会绕过这类要领。有肯定计算机技术的用户能够经由过程USB连接到电脑来运转adb shell dumpsys运动来检察详细的运转状况。

本文翻译自:https://promon.co/security-news/strandhogg/

网友评论