Bezpečnost | Android | Hacking

Přes miliardu zařízení s Androidem ohrožuje nebezpečný StrandHogg 2.0

Bezpečnostní experti z norské společnosti Promon objevili novou chybu v operačním systému Android, která hackerům umožňuje získat přístup k téměř všem aplikacím. Označili ji jako StrandHogg 2.0 a hned v úvodu varují, že je mnohem nebezpečnější než zranitelnost StrandHogg, objevená v loňském roce.

Nechvalně známý původní StrandHogg používal k únosům aplikací funkci taskAffinity. Místo požadované aplikace se tak spouštěl škodlivý program. V praxi to vypadalo tak, že například po klepnutí na regulérní ikonu Gmailu se zobrazil požadavek na zadání přihlašovacích údajů. Pokud je uživatel zadal, odeslaly se tyto informace útočníkovi. Uživateli se pak normálním způsobem spustila aplikace Gmail.

Zákeřnější dvojče

Slabinou první verze StrandHoggu byla potřeba deklarovat taskAffinity v manifestu – prostém souboru ve formátu XML, který je součástí instalačního balíčku. Identifikace potenciálně škodlivé aplikace tak byla poměrně jednoduchá – stačilo detekovat odpovídající deklaraci taskAffinity.

StrandHogg 2.0 nevyžaduje žádné zvláštní nastavení manifestu, což výrazně ztěžuje možnost jeho identifikace. Útočník může použít metodu trojského koně – tedy například přesvědčí uživatele k instalaci zajímavé aplikace nebo hry a až následně stáhne do zařízení škodlivý kód.

Kromě běžných snah o odcizení nejrůznějších přihlašovacích údajů lze StrandHogg použít i k dalším akcím. Například při spuštění programu pro pořizování fotek požádá škodlivá aplikace o přístup k fotoaparátu a mikrofonu. Jestliže uživatel souhlasí, udělí ve skutečnosti tato oprávnění malwaru.

Záludnosti StrandHoggu 2.0

Novou verzi zranitelnosti lze využít pro různé typy phishingových útoků, jako je například zobrazení falešné přihlašovací obrazovky, shromažďování různých citlivých informací nebo získávání oprávnění k přístupu k SMS, GPS a dalším údajům.

Z pohledu odborníků jsou nebezpečné zejména následující faktory:

  • Tato chyba zabezpečení nevyžaduje žádné zvláštní atributy nebo úpravy škodlivé aplikace (např. souboru AndroidManifest.xml).
  • Nevyžaduje žádné úpravy cílových aplikací.
  • Nepotřebuje žádná zvláštní oprávnění, konfiguraci, povolení ani žádné modifikace zařízení.
  • Funguje na všech verzích Androidu, kromě verze 10 (verze 4.0.1 a nižší ještě nebyly testovány).
  • Ohrožuje více než 500 populárních aplikací.

Nebezpečí pro všechny

StrandHogg 2.0 ovlivňuje všechny verze Androidu až do verze 9 (včetně), což znamená zhruba 90 % všech zařízení s tímto operačním systémem. Google chybu klasifikoval jako „kritickou“ (CVE-2020-0096) a v květnové aktualizaci na ni vydal záplatu. Tu však zatím dostali pouze majitelé telefonů s čistým Androidem (např. Google Pixel).

V případě zařízení, na kterých si výrobci upravili systém dle svých představ a potřeb, musí uživatelé počkat, až záplatu připraví, otestuje a vydá výrobce. S nebezpečím pak musí počítat především majitelé starších telefonů a tabletů, kterým skončila podpora a v drtivé většině případů nedostávají ani bezpečnostní aktualizace.

Zajímavostí je, že starší verze zranitelnosti StrandHogg 1.0 není a pravděpodobně nebude nikdy opravena. Zdá se, že v tomto případě Google upřednostnil detekci a odstraňování škodlivých aplikací při jejich nahrávání do Obchodu Play.

Diskuze (1) Další článek: Vodafone má výpadek. Nefungují hovory, internet ani televize

Témata článku: Google, Bezpečnost, Android, Mobilní aplikace, Gmail, Hacking, Malware, GPS, Uživatelé, Zařízení, Škodlivá aplikace, Aplikace, Promon, Stráň, SMS, Obchod Play, Google Pixel, Zranitelnost, Verze


Určitě si přečtěte

Nové názvy, upravený vývoj. Microsoft ukázal, jak teď bude vydávat Windows 10

Nové názvy, upravený vývoj. Microsoft ukázal, jak teď bude vydávat Windows 10

** Podzimní vydání Windows 10 přinese jen minimum novinek ** Aktualizace ponese formální označení 20H2 ** Microsoft mění názvy v programu Windows Insider

Lukáš Václavík | 17

Na měsíc jsem opustil Google a potupně se zase vrátil zpět (komentář)

Na měsíc jsem opustil Google a potupně se zase vrátil zpět (komentář)

** Zkusil jsem se zbavit závislosti na vyhledávači od Googlu ** Jako alternativy posloužily Bing, Seznam a DuckDuckGo ** Mají své silné stránky, ale i nepřekonatelná negativa

Lukáš Václavík | 53

Nejlepší programy z roku 2000: Další várka zapomenutých legend, které jste měli v PC

Nejlepší programy z roku 2000: Další várka zapomenutých legend, které jste měli v PC

** Pokračujeme ve vzpomínání na prehistorické programy ** Pročetli jsme vaše tipy v diskuzi ** A všechny ty vykopávky spustili na Windows 2000

Jakub Čížek | 72

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

** Dnes už skoro všechno uděláte ve webovém prohlížeči a na mobilu ** Před dvaceti lety to ale bylo jiné ** Zavzpomínejte na legendy, které jste pravděpodobně také používali

Jakub Čížek | 122


Aktuální číslo časopisu Computer

Megatest SSD s kapacitou 1 TB

Srovnávací test robotických vysavačů

Vybíráme nejlepší telefony na trhu

Jak zlepšit zvuk televize