Takket være StrandHogg, kan malware oprette falske loginskærmbilleder for at stjæle dine adgangskoder
Mandag afslørede forskere fra et norsk mobilsikkerhedsfirma kaldet Promon offentligt en alvorlig sårbarhed i Android-operativsystemet. Det er temmelig passende opkaldt efter StrandHogg - Vikingens taktik om at angribe kystlinjer og fange oprindelige mennesker med den hensigt at handle dem som slaver. Sårbarheden påvirker alle versioner af Googles mobile operativsystem, herunder den nyeste Android 10, og ifølge Promon kan hackere angribe brugere af de 500 mest populære applikationer i Google Play-butikken. Hvis den udnyttes, giver StrandHogg angribere muligheden for at gøre næsten alt fra at gennemgå opkaldslogger via phishing-loginoplysninger til at spionere på folk med enhedens kamera og mikrofon. Før vi ser, hvordan StrandHogg fungerer, skal vi dog først lære, hvordan et typisk angreb på Android udspiller sig.
Table of Contents
Hvordan hackere normalt angriber Android-brugere
Det er et kendt faktum, at en Android-enhed præsenterer en temmelig markant angreboverflade. Vores smartphones er mere eller mindre klæbet på vores hænder, og vi gør stort set alt på dem i dag. Hackere kan faktisk bruge dem til at stjæle følsomme oplysninger og spionere på os, men at gøre det er ikke så simpelt som at narre os til at installere et ondsindet program.
Apps har normalt ikke adgang til alle styrende styresystemer. Før de for eksempel kan bruge enhedens mikrofon, er de nødt til at bede om eksplicit tilladelse, og hvis de skal have mere bevægelsesfrihed, har de brug for administrative rettigheder. I et typisk scenarie er brugeren den, der beslutter, hvilke apps der får hvilke tilladelser, og angreb mislykkes ofte på grund af dette. Det er muligt at få de krævede tilladelser uden ejerens specifikke samtykke, hvis enheden er rodfæstet, men det må siges, at ikke så mange mennesker ved, hvordan eller kan gider at rodfæste deres smartphones.
Problemet med StrandHogg er, at det kan fungere på enheder, der ikke er rodfæstede, og i visse udnyttelsesscenarier kan det få alle de tilladelser, den har brug for, uden at brugeren har mistanke om noget.
Sådan fungerer StrandHogg
StrandHogg's styrke ligger i det faktum, at det lader hackere udgive sig efter legitime applikationer. Den vellykkede udnyttelse af StrandHogg kræver installation af en ondsindet applikation enten af brugeren eller af en dropper-app. Ifølge Promon kan malware komme med en slags legitim funktionalitet. Dets hovedformål er imidlertid at bruge en svaghed i Android's multitasking-system, der lader det udføre et smart trick, der kan narre endnu den mere opmærksomme bruger.
På grund af denne svaghed kan malware vise en phishing-loginformular næste gang brugeren f.eks. Starter et program som Facebook. Når den har sendt de indsamlede loginoplysninger til hackere, kører den falske app Facebook, hvilket reducerer chancerne for, at offeret finder ud af, at noget ikke er helt rigtigt.
Ved hjælp af StrandHogg kan en ondsindet applikation også udgive sig en legitim og bede om tilladelser, som kan være vanskelige at få i et mere almindeligt angreb. For eksempel, hvis en tredjeparts vejr-app eller en lommeregner anmoder om adgang til enhedens kamera, er det usandsynligt, at du klikker på OK-knappen med det samme. Hvis Facebook på den anden side beder om den samme tilladelse, ville du tro, at dette er helt normalt, fordi det er sådan, du opretter indlæg og historier på farten. På grund af StrandHogg er den app, du interagerer med, muligvis ikke overhovedet Facebook.
Ved hjælp af StrandHogg kan en ondsindet applikation få stort set enhver tilladelse, den har brug for, hvorfor sårbarheden kan bruges i en så bred vifte af angrebsscenarier. Som om det ikke var nok, er en succesrig udnyttelse meget vanskelig at opdage. Promons eksperter bemærkede, at du muligvis kunne se den ondsindede app på skærmen Recent Apps, men de sagde, at angriberen har en måde at skjule den for dig på. Den virkelig dårlige nyhed er, at cyberkriminelle allerede ved, hvordan de drager fordel af sårbarheden, og de gør det, som vi taler.
StrandHogg er allerede udnyttet i naturen
Promons forskere sagde, at de har set "håndgribelige beviser" for hackere, der bruger StrandHogg-sårbarheden. Faktisk begyndte hele undersøgelsen, efter at flere banker i Den Tjekkiske Republik lød alarmer om, at kunder får deres konti drænet. Lookout, en af Promons partnere, identificerede i alt 36 ondsindede applikationer, der er blevet set udnytte StrandHogg i naturen. En af dem var en BankBot-variant, der går tilbage til 2017, og selvom ingen af apps var bosat på Google Play, blev nogle af dem downloadet via droppers, der var tilgængelige i Android's officielle butik. Google fjernede apps umiddelbart efter, at de blev underrettet, men det kunne derefter ikke sige, hvad det gør for at løse det, der uden tvivl er et alvorligt problem.
Selvom Promons forskere delte deres fund med Google tilbage i sommeren, påvirker StrandHogg selv de nyeste flagskibsenheder, der kører Android's seneste version. Dette betyder, at det enten er for vanskeligt at løse problemet med at løse problemet, eller at Google ikke har travlt med at gøre det. Fordi søgemaskigiganten ikke har udsendt en officiel kommentar, kan vi ikke være sikker på, hvor problemet er. Promons rapport fortæller os imidlertid, at da aspekter af sårbarheden blev beskrevet af Penn State University-forskere i 2015, afviste Google StrandHogg's alvorlighed. Forhåbentlig, med eller uden en officiel meddelelse, kommer en patch snart.
