Bezpečnost | Android | Hacking

Přes miliardu zařízení s Androidem ohrožuje nebezpečný StrandHogg 2.0

Bezpečnostní experti z norské společnosti Promon objevili novou chybu v operačním systému Android, která hackerům umožňuje získat přístup k téměř všem aplikacím. Označili ji jako StrandHogg 2.0 a hned v úvodu varují, že je mnohem nebezpečnější než zranitelnost StrandHogg, objevená v loňském roce.

Nechvalně známý původní StrandHogg používal k únosům aplikací funkci taskAffinity. Místo požadované aplikace se tak spouštěl škodlivý program. V praxi to vypadalo tak, že například po klepnutí na regulérní ikonu Gmailu se zobrazil požadavek na zadání přihlašovacích údajů. Pokud je uživatel zadal, odeslaly se tyto informace útočníkovi. Uživateli se pak normálním způsobem spustila aplikace Gmail.

Zákeřnější dvojče

Slabinou první verze StrandHoggu byla potřeba deklarovat taskAffinity v manifestu – prostém souboru ve formátu XML, který je součástí instalačního balíčku. Identifikace potenciálně škodlivé aplikace tak byla poměrně jednoduchá – stačilo detekovat odpovídající deklaraci taskAffinity.

StrandHogg 2.0 nevyžaduje žádné zvláštní nastavení manifestu, což výrazně ztěžuje možnost jeho identifikace. Útočník může použít metodu trojského koně – tedy například přesvědčí uživatele k instalaci zajímavé aplikace nebo hry a až následně stáhne do zařízení škodlivý kód.

Kromě běžných snah o odcizení nejrůznějších přihlašovacích údajů lze StrandHogg použít i k dalším akcím. Například při spuštění programu pro pořizování fotek požádá škodlivá aplikace o přístup k fotoaparátu a mikrofonu. Jestliže uživatel souhlasí, udělí ve skutečnosti tato oprávnění malwaru.

Záludnosti StrandHoggu 2.0

Novou verzi zranitelnosti lze využít pro různé typy phishingových útoků, jako je například zobrazení falešné přihlašovací obrazovky, shromažďování různých citlivých informací nebo získávání oprávnění k přístupu k SMS, GPS a dalším údajům.

Z pohledu odborníků jsou nebezpečné zejména následující faktory:

  • Tato chyba zabezpečení nevyžaduje žádné zvláštní atributy nebo úpravy škodlivé aplikace (např. souboru AndroidManifest.xml).
  • Nevyžaduje žádné úpravy cílových aplikací.
  • Nepotřebuje žádná zvláštní oprávnění, konfiguraci, povolení ani žádné modifikace zařízení.
  • Funguje na všech verzích Androidu, kromě verze 10 (verze 4.0.1 a nižší ještě nebyly testovány).
  • Ohrožuje více než 500 populárních aplikací.

Nebezpečí pro všechny

StrandHogg 2.0 ovlivňuje všechny verze Androidu až do verze 9 (včetně), což znamená zhruba 90 % všech zařízení s tímto operačním systémem. Google chybu klasifikoval jako „kritickou“ (CVE-2020-0096) a v květnové aktualizaci na ni vydal záplatu. Tu však zatím dostali pouze majitelé telefonů s čistým Androidem (např. Google Pixel).

V případě zařízení, na kterých si výrobci upravili systém dle svých představ a potřeb, musí uživatelé počkat, až záplatu připraví, otestuje a vydá výrobce. S nebezpečím pak musí počítat především majitelé starších telefonů a tabletů, kterým skončila podpora a v drtivé většině případů nedostávají ani bezpečnostní aktualizace.

Zajímavostí je, že starší verze zranitelnosti StrandHogg 1.0 není a pravděpodobně nebude nikdy opravena. Zdá se, že v tomto případě Google upřednostnil detekci a odstraňování škodlivých aplikací při jejich nahrávání do Obchodu Play.

Diskuze (2) Další článek: Vodafone má výpadek. Nefungují hovory, internet ani televize

Témata článku: Google, Bezpečnost, Gmail, Android, Hacking, Malware, GPS, Mobilní aplikace, Škodlivá aplikace, Zařízení, Google Pixel, Zranitelnost, Promon, Aplikace, Verze, Stráň, SMS, Uživatelé, Obchod Play



Novela DPH je hotová. Od října se i v Česku bude platit daň za zásilky do 22 eur. Možná…

Novela DPH je hotová. Od října se i v Česku bude platit daň za zásilky do 22 eur. Možná…

** V EU se od léta daní všechny mimoevropské zásilky ** Skončilo osvobození pro ty nejlevnější do 22 eur ** Česko nestihlo schválit vlastní novelu a fungovalo zde jakési bezčasí

Jakub Čížek
E-shopyAliExpress
Jak stáhnout video z Youtube: 10 nejlepších nástrojů

Jak stáhnout video z Youtube: 10 nejlepších nástrojů

** Vybrali jsme deset nejlepších nástrojů pro stahování videa z YouTube ** Můžete si vybrat, jestli chcete aplikaci, doplněk do browseru nebo webovou službu ** Videa z YouTube poté můžete sledovat offline

Karel KiliánStanislav Janů
TipyNejlepší programy
Týden Živě: Google ruší mobilní Android Auto a navigace Mapy.cz stále pokulhává
David PolesnýJakub Čížek
Android AutoMapy.czTýden ŽivěVideo
Ode dneška se vydávají nové občanky včetně NFC a otisků prstů
Lukáš Václavík
eObčankaČeskoeGovernment