Een nieuwe zeer gevaarlijke, kritieke kwetsbaarheid werd geïdentificeerd in het Android-besturingssysteem.
De kwetsbaarheid lijkt op de StrandHogg-fout, onthulde vorig jaar, maar is nog geavanceerder.
Dubbed StrandHogg 2.0 en ook wel bekend als CVE-2020-0096, de kwetsbaarheid treft alle Android-apparaten, behalve die met de meest recente Android-versie, Android Q / 10. Het slechte nieuws is dat de nieuwste versie wordt gebruikt door een klein percentage van alle Android-apparaten - 15 aan 20%. Dit betekent dat miljarden Android-apparaten worden blootgesteld aan de geavanceerde StrandHogg 2.0 aanval.
Strandhogg 2.0 toegelicht
Allereerst, dit is een beveiligingslek met betrekking tot misbruik van bevoegdheden, die werd ontdekt door Promon-onderzoekers. De fout kan ervoor zorgen dat bedreigingsactoren toegang krijgen tot bijna alle apps op een Android-apparaat.
Volgens de officieel rapport, de fout is geclassificeerd als 'kritieke ernst' (CVE-2020-0096) door Google. Vanwege de overeenkomsten met de StrandHogg-kwetsbaarheid ontdekt door dezelfde onderzoekers in 2019, de bug is StrandHogg genoemd 2.0.
"Terwijl StrandHogg 2.0 stelt hackers ook in staat om bijna elke app te kapen, het maakt bredere aanvallen mogelijk en is veel moeilijker te detecteren, het maken, in werkelijkheid, de 'boze tweeling' van zijn voorganger,”Aldus de onderzoekers.
Hoe is Strandhogg 2.0 de aanval uitgevoerd?
Strandhogg 2.0 wordt uitgevoerd door middel van reflectie, waardoor kwaadaardige apps de identiteit van legitieme apps vrijelijk kunnen overnemen en volledig verborgen blijven.
Zodra een kwaadaardige app is geïnstalleerd, het beveiligingslek stelt aanvallers in staat verschillende kwaadaardige acties uit te voeren, zoals:
- toegang krijgen tot privé-sms-berichten en foto's;
- de inloggegevens van het slachtoffer stelen;
- het volgen van de GPS-bewegingen van het slachtoffer;
- telefoongesprekken voeren of opnemen;
- de camera en microfoon van het apparaat gebruiken om het slachtoffer te bespioneren.
Vanzelfsprekend, StrandHogg 2.0 is veel erger dan zijn tweelingbroer, omdat het in staat is om bijna elke app tegelijk met één druk op de knop dynamisch aan te vallen. In vergelijking, het eerste beveiligingslek kon aanvallen mogelijk maken waarbij slechts één app tegelijk werd aangevallen. Deze nieuwe mogelijkheid maakt de tweede versie van de fout veel gevaarlijker - er is geen root-toegang vereist om de aanval te laten plaatsvinden, evenmin zijn er rechten van het apparaat.
“Door misbruik te maken van deze kwetsbaarheid, een kwaadaardige app die op een apparaat is geïnstalleerd, kan de gebruiker aanvallen en misleiden, zodat wanneer op het app-pictogram van een legitieme app wordt geklikt, een kwaadaardige versie wordt in plaats daarvan weergegeven op het scherm van de gebruiker,” Promon-onderzoekers legden uit.
Wat gebeurt er nu? Als de gebruiker zijn inloggegevens intypt op de interface van de kwaadaardige app, de details worden onmiddellijk naar de aanvallers gestuurd. Door toegang te hebben tot dergelijke details, kunnen aanvallen verdere kwaadaardige activiteiten uitvoeren.
Echter, wat maakt StrandHogg 2.0 zo bedreigend is dat het veel moeilijker te detecteren is vanwege de op code gebaseerde uitvoering.
Aanvallers die StrandHogg exploiteren, moeten de apps die ze targeten expliciet en handmatig invoeren in Android Manifest, waarbij deze informatie dan zichtbaar wordt in een XML-bestand dat een toestemmingsverklaring bevat, inclusief welke acties kunnen worden uitgevoerd. Deze verklaring van vereiste code, die u kunt vinden in de Google Play Store, is niet het geval bij het exploiteren van StrandHogg 2.0, het rapport verduidelijkt.
Wat betekent dit? De hacker kan de aanval verder verdoezelen, aangezien er geen externe configuratie nodig is om deze aanval uit te voeren. Dit is mogelijk omdat code afkomstig van Google Play door ontwikkelaars en beveiligingsonderzoekers niet als verdacht wordt aangemerkt.
Bovendien, dit betekent ook dat Android malware het exploiteren van de StrandHogg 2.0 gebreken zullen ook moeilijker te detecteren zijn door beveiligings- en antivirusscanners, de eindgebruiker kwetsbaarder maken.
Promon-onderzoekers zijn van mening dat aanvallers de twee kwetsbaarheden samen zullen gebruiken, waardoor een breder doelgebied wordt gegarandeerd.
Hoe zit het met de mitigaties? Helaas, de mitigaties tegen StrandHogg werken niet tegen StrandHogg 2.0, en vice versa. Gelukkig, apparaten met de nieuwste versie van Android zijn niet vatbaar voor aanvallen, maar hun aantal is te klein. Volgens de laatste Google-statistieken tot april 2020, 91.8% van Android actieve gebruikers wereldwijd zijn op versie 9.0 of eerder.
Google is in december op de hoogte gesteld van het beveiligingslek 2019. Google heeft vorige maand al een patch uitgebracht voor de Android-ecosysteempartners. een fix beveiligingspatch voor Android-versies 8.0, 8.1, en 9 wordt in mei voor het grote publiek uitgerold 2020, Promon toegevoegd.