E X P
正努力加载中…
  • 编辑
  • 评论
  • 标题
  • 链接
  • 查错
  • 图文
  • 拼 命 加 载 中 ...

    国外网络安全研究人员在安卓系统上发现了一个新的还没有被修复的漏洞。这个漏洞被称为Strandhogg,目前已经有几十个恶意应用利用了这个漏洞来窃取用户的银行信息和其他的登入数据。


    图片来源:Promon

    这个Strandhogg漏洞是利用安卓的多任务处理功能,使安装在安卓系统上的惡意应用可以伪装成该设备上的任何其他应用程序,包括任何需要特权的系统应用程序。

    换句话说,当用户点击一个正常应用程序的图标时,利用Strandhogg漏洞的恶意应用可以拦截劫持这个任务并且向用户显示一个虚假的应用界面,而不是启动那个正常的应用程序。

    透过误导用户让他们以为打开的是一个正常的应用程序,这个漏洞可以使恶意应用以虚假的登录界面来窃取用户的数据。


    图片来源:Promon

    挪威安全公司Promon研究人员表示:

    “这个漏洞可以使攻击者能够成功地伪装成几乎所有应用程序。在这个示例中,攻击者通过利用如taskAffinity和allowTaskReparenting等的任务状态转换条件,成功地骗过系统并启动了虚假的界面。当受害者在这个假界面中输入他们的登录信息时,攻击者会立即收到这些信息,随后可以登录并控制那些应用程序。”

    除了骗取敏感信息外,恶意应用还可以通过Strandhogg漏洞,冒充成正常应用程序向用户要求授予权限。

    “攻击者可以要求获得任何权限,包括SMS、照片、麦克风和GPS定位,从而允许他们读取设置中的短信、查看照片、窃听并且跟踪受害者。”

    目前没有任何可靠的方法来阻止或者探测到这种任务劫持攻击,不过用户可以通过注意任何异常情况来发现这类攻击,例如已经登录的应用要求再次登录、不包含应用程序名称的要求授权窗口、应用程序请求不应该需要的权限、用户界面中的按钮和链接点不了没反应,以及返回键失效了。

    有关这个漏洞的详情可以在以下连接查看:

    The Hacker News

    Promon

    ×
    热门文章
    1三星980 PRO 1TB M.2 SSD评测:现最强PCI-E 4.0 SSD
    2先马冰钻风扇使用体验:高效、耐用、不花俏的实用之选
    3Ryzen 7 5800X跑分泄露,游戏性能强于Core i9-10900K
    4PS5网站源代码揭示更多信息:向后兼容性、强制触觉反馈、自适应触发器等
    5戴尔更新XPS 13 9310系列轻薄本:用上11代虎式处理器
    6三星980 PRO 1TB M.2 SSD评测:现最强PCI-E 4.0 SSD^1
    7先马冰钻风扇使用体验:高效、耐用、不花俏的实用之选^1
    已有 6 条评论,每一条合规评论都是对我们的褒奖。
    • 游客 2019-12-03 15:10

      hstjm2008 教授

      死果真不如安卓 毕竟果曲粉这么多 没有什么客观的人存在
      2019-12-03 10:33 已有2次举报
    • 支持(10)  |   反对(2)  |   举报  |   回复
    • 非谷歌版的安卓倒是更新内核啊,版本号刷得飞快却漏洞依旧

      支持(0)  |   反对(0)  |   举报  |   回复

      6#

    • 游客 2019-12-03 14:02

      hstjm2008 教授

      死果真不如安卓 毕竟果曲粉这么多 没有什么客观的人存在
      2019-12-03 10:33 已有2次举报
    • 支持(10)  |   反对(2)  |   举报  |   回复
    • 确实,而且都是些假文艺绣花枕头一包(哔~)

      已有1次举报

      支持(1)  |   反对(1)  |   举报  |   回复

      5#

    • 超能康猩猩教授 2019-12-03 12:41  加入黑名单

      游客

      yjhercules:
      就乎
      安卓有漏洞没关系
      就像intel一样有很多漏洞
      反正我手机里没有钱
      不影响做活
      2019-12-03 11:44
    • 支持(8)  |   反对(0)  |   举报  |   回复
    • 有内味了

      支持(4)  |   反对(0)  |   举报  |   回复

      4#

    • 游客 2019-12-03 11:44

      yjhercules:
      就乎
      安卓有漏洞没关系
      就像intel一样有很多漏洞
      反正我手机里没有钱
      不影响做活

      支持(8)  |   反对(0)  |   举报  |   回复

      3#

    • hstjm2008教授 2019-12-03 10:33  加入黑名单

      游客

      卡卓真不如苹果 毕竟卡卓粉这么多 没有什么客观的人存在
      2019-12-03 10:15 已有7次举报
    • 支持(3)  |   反对(7)  |   举报  |   回复
    • 死果真不如安卓 毕竟果曲粉这么多 没有什么客观的人存在

      已有2次举报

      支持(10)  |   反对(2)  |   举报  |   回复

      2#

    • 游客 2019-12-03 10:15

      卡卓真不如苹果 毕竟卡卓粉这么多 没有什么客观的人存在

      已有7次举报

      支持(3)  |   反对(7)  |   举报  |   回复

      1#

    我来评论
    为你推荐