Kriittinen StrandHogg 2.0 -haavoittuvuus Android-laitteissa
Haavoittuvuus16/2020
Android käyttöjärjestelmästä on löydetty kriittinen haavoittuvuus (CVE-2020-0096), joka koskee aiempia kuin Android 10.0-versiota käyttäviä laitteita. Haavoittuvuuden avulla haitallinen Android-sovellus voi tekeytyä toiseksi sovellukseksi ja pyytää uusia käyttöoikeuksia sovellukselle tai esittää käyttäjälle väärennetyn kirjautumisruudun. Haavoittuvuuden löytänyt Promon security on antanut sille nimen StrandHogg 2.0. Haavoittuvuus on hyvin samanlainen kuin heidän aiemmin löytämänsä StrandHogg-haavoittuvuus.
StrandHogg 2.0 -haavoittuvuus mahdollistaa haitallisen ohjelman tekeytymisen toiseksi ohjelmaksi. Haavoittuvuuden avulla haitallinen sovellus voi toista sovellusta avattaessa pyytää uusia käyttöoikeuksia itselleen, kuten esimerkiksi SMS-viestien lukemiseen ja lähettämiseen, mikrofonin kuunteluun, valokuvien ottamiseen, laitteen sijaintitietoon, yhteystietoihin sekä puhelulokeihin. Lisäksi haitallinen sovellus voi näyttää toista sovellusta avattaessa väärennetyn kirjautumisruudun, johon syötetyt tunnukset päätyvät rikollisten haltuun.
Haavoittuvuuden hyväksikäytön havaitseminen on hankalaa sillä haitallinen sovellus voi tekeytyä esimerkiksi karttasovellukseksi ja pyytää oikeutta sijaintitietoihin. Haavoittuvuuden hyödyntäminen ei vaadi järjestelmätason oikeuksia (root).
Haavoittuvuuden löytäneet tutkijat kertovat, että tämä haavoittuvuus on hankalampi huomata kuin aikaisempi StrandHogg-haavoittuvuus.
Kohde
- Sulautetut järjestelmät
- Matkaviestinjärjestelmät
Hyökkäystapa
- Paikallisesti
Vaikutukset
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Android-versiot < 10.0 ovat haavoittuvia.
- (Tutkijat eivät ole vielä testanneet, ovatko Android-versiot < 4.0.1 myös haavoittuvia.)
Mistä on kysymys?
Google on julkaissut haavoittuvuuden korjaavan päivityksen (Ulkoinen linkki)Android-versioille 8.0, 8.1 ja 9 (CVE-2020-0096).
TechCrunch (Ulkoinen linkki)kirjoittaa Googlen kertoneen, että Google Play Protect -palvelu huomaa StrandHogg 2.0 -haavoittuvuutta hyväksikäyttävät sovellukset.
Alla on listattu muutamia keinoja, joilla StrandHogg 2.0-haavoittuvuuden hyödyntämistä voi pyrkiä tunnistamaan:
- Sovellus, johon olet jo kirjautunut pyytää kirjautumaan uudelleen
- Käyttöoikeuksien pyynnöt ilman sovelluksen nimeä
- Sovelluksen käyttötarkoitukseen liittymättömät käyttöoikeuspyynnöt
- Sovelluksen painikkeet eivät toimi odotetulla tavalla tai ollenkaan
Tutkijat ovat julkaisseet haavoittuvuudesta kuvauksen (Ulkoinen linkki), josta löytyy tarkemmat ohjeet sovelluskehittäjille Android-sovellusten suojaamiseen.