当您在Android智能手机上单击某个应用时,您期望弹出的下一个窗口完全没问题的,但是操作系统中的一个新漏洞实际上可以使黑客劫持该进程,并在您的手机上放置一个恶意窗口。
根据安全公司Promon的说法,该漏洞对于设计Android恶意软件并试图在App Store上传播其创作的来说非常方便。
该公司表示:“通过利用此漏洞,设备上安装的恶意应用程序可以攻击并欺骗用户,因此,当单击合法应用程序的应用程序图标时,恶意版本将显示在用户的屏幕上。”
恶意窗口可能包括伪造的登录屏幕,要求您输入密码。查看弹出窗口的受害者将认为该窗口合法。但实际上,登录屏幕是秘密设计的,旨在将您的密码凭据传送出去。
该漏洞还使恶意软件能够显示伪装来自合法应用程序的假许可窗口。该权限可用于请求访问手机的摄像头,麦克风,SMS消息或GPS位置,从而为部分设备接管铺平了道路。
使得此漏洞特别棘手的是,它无需root访问权限或在Android设备上运行即可获得额外特权。只需要诱使受害者下载并安装恶意软件,即可开始通过电话劫持合法的应用程序进程。
Promon称其为StrandHogg 2.0缺陷,原因是它与Android中的一个较早的漏洞相似,该漏洞也可以在OS中注入假权限弹出窗口。StrandHogg 2.0是一种升级的攻击形式,因为它可以在任何给定时间劫持Android设备上的多个应用程序。另一方面,较旧的攻击一次只能针对一个应用。
好消息是,最新版的操作系统Android 10不受此漏洞影响。但是,该漏洞仍会影响Android 9及更低版本,或者当前有90%以上的Android用户正在运行。
作为回应,谷歌本月初发布了针对Android 8、8.1和9 的安全补丁,智能手机供应商可以将其部署到他们的设备上。Google发言人告诉PCMag:“我们感谢研究人员的工作,并针对他们发现的问题发布了修复程序。此外,Google Play Protect还可以检测并阻止恶意应用程序,包括使用该技术的应用程序。”
点击阅读全文
