必火网络安全培训开班时间 渗透测试培训班 代码审计培训机构

火热报名中

报名日期:2019-11-1 -- 2019-11-25

必火安全,网络安全界的黄埔军校

专业的课程安排

为学员安排更加合理的课程,根据学员的基础能力进行合理安排!培训5个月从入门到精通!

更加负责的态度

培训过程中针对学员的问题进行一对一的辅导,听懂再继续后面的课程,绝对不走形式培训,让其每个人都能学有所成.学有所用

毕业就业

零基础入门,零费用入学,5个月破茧成蝶,驰骋安全圈,96%就业!必火学生分布在各大安全公司,如:奇虎360(必火22个学生),绿盟(必火12个学生),天融信,启明星辰,安恒科技,卓越蓝军,安塞,国瑞数码,威客安全,安华信达,九州华胜,永信至诚等!

Strandhogg漏洞:Android系统上的维京海盗

发布时间:2019-12-06 17:33     作者:必火安全

      这次跟大家说说新型Android应用漏洞,不仅能让银行卡余额消失,还会偷拍监听的那种。

至于银行卡余额神秘消失事件,就发生在捷克共和国的多家银行。不法攻击者利用StrandHogg漏洞,使用BankBot银行木马等恶意软件,悄无声息地盗走多家银行用户的卡内余额,引发东欧金融机构安全服务商的多方求助。

   StrandHogg是一个存在于Android多任务系统中的应用漏洞。该漏洞利用则是基于一个名为“taskAffinity”的Android控件设置,允许包括恶意应用在内的任意程序,随意采用多任务处理系统中的任何身份。

   简单来说,就是中招后,当我们点开一个正常应用程序的图标时,利用Strandhogg漏洞的恶意应用可以拦截劫持这个任务,并向用户显示一个虚假的应用界面。

也许登录银行账户,窃取钱财反倒是伤害相对较小的攻击。

   访问摄像头和麦克风,获取设备的位置,读取SMS,捕获登录凭据(包括通过SMS的2FA代码),访问私人照片和视频,访问联系人……这些看似基本但关系手机安全闭环的功能,只要成功利用Strandhogg漏洞,恶意应用都可以请求上述权限。

零日验证该漏洞时,就成功将恶意程序伪装成一合法应用,获得了测试目标的定位,当然,仅用于测试,大家不要随意尝试。

   略让人恐慌的是,包括最新Android10在内的所有Android版本,都存Strandhogg漏洞。随后,零日逐一验证后发现,GooglePlay商店内可用的前500个Android应用程序,确如挪威安全公司说的那样,都可通过StrandHogg攻击劫持所有应用程序的进程以执行恶意操作。

 

   2、无法检测Stranghodd漏洞利用:有攻就有防,但很不幸的是,截至目前,针对Stranghodd漏洞利用的阻止方式,甚至是相对可靠的检测方法,都还没有出现。普通用户只能通过一些不鲜明的异常发现问题,比如已登录的应用要求登录、单击用户界面按钮链接时不起作用,或者后退按钮无法正常工作。

并不是所有被发现的漏洞,都会被利用,但攻击者绝不会放过那些有价值的漏洞。

   不同于提权等相对熟悉的漏洞,Strandhogg漏洞的威胁层级其实并不能清晰的界定,因为它的存在更像给恶意程序开了一道门,至于被利用后带来的是小威胁,还是大震荡,关键要看恶意程序本身是威胁层级。

1、恶意程序利用GooglePlay分发

   从代码部分可以看到,当恶意应用在一个或多个活动上设置taskAffinity,以匹配任何第三方应用的packageName时,漏洞利用就会发挥作用。然后,通过与清单中的allowTaskReparenting=“true”组合,或通过使用Intent.FLAG_ACTIVITY_NEW_TASK的intent标志启动活动,将恶意活动置于目标任务的内部和顶部。

2、伪装多个正常程序

adb shell dumpsys activity activities,才可以看到攻击活动已经存在,且一直潜伏到下次启动该应用程序为止。

3、AllowTask Reparenting(任务重编)

   这样,恶意程序就会根据新一次启动程序的情况,及时更新屏幕上显示的内容。

从样本来看,StrandHogg漏洞确实给恶意程序广开大门。

零日反思

   在Android操作系统这片开源的大海上,其实不仅有StrandHogg漏洞这样的维京海盗式战术,还有各种各样已知未知的漏洞威胁,虽然经过十多年的发展,在各路技术人员的努力下,让Android操作系统漏洞威胁趋于稳定,但我们并不能掉以轻心,因为不法分子的攻击,时刻在发生。

你的未来,我来导航