Οι ερευνητές ασφαλείας έχουν βρει μια μεγάλη ευπάθεια σε σχεδόν κάθε έκδοση του Android, η οποία επιτρέπει σε malware να μιμούνται νόμιμες εφαρμογές για να κλέψουν κωδικούς πρόσβασης εφαρμογών και άλλα ευαίσθητα δεδομένα.
Η ευπάθεια, που ονομάστηκε Strandhogg 2.0 επηρεάζει όλες τις συσκευές που χρησιμοποιούν Android 9.0 και παλαιότερες version. Είναι το «κακό δίδυμο» σε ένα προηγούμενο σφάλμα με το ίδιο όνομα, σύμφωνα με τη νορβηγική εταιρεία ασφαλείας Promon, η οποία ανακάλυψε και τις δύο ευπάθειες σε απόσταση έξι μηνών. Το Strandhogg 2.0 λειτουργεί εξαπατώντας ένα θύμα για να σκεφτεί ότι εισάγει τους κωδικούς πρόσβασης σε μια νόμιμη εφαρμογή ενώ αλληλεπιδρά με μια “κακόβουλη κάλυψη”. Το Strandhogg 2.0 μπορεί επίσης να παραβιάσει άλλες άδειες εφαρμογών για να απομακρύνει ευαίσθητα δεδομένα χρήστη, όπως επαφές, φωτογραφίες και να εντοπίσει την τοποθεσία του θύματος σε πραγματικό χρόνο.
Το σφάλμα λέγεται ότι είναι πιο επικίνδυνο από τον προκάτοχό του, επειδή είναι «σχεδόν μη ανιχνεύσιμο», δήλωσε ο Tom Lysemose Hansen, ιδρυτής και επικεφαλής της τεχνολογίας στην Promon.
Τα καλά νέα είναι ότι η Promon είπε ότι δεν έχει αποδείξεις ότι οι hackers έχουν χρησιμοποιήσει το σφάλμα σε ενεργές εκστρατείες hacking. Η προειδοποίηση είναι ότι δεν υπάρχουν «καλοί τρόποι» για την ανίχνευση μιας επίθεσης. Φοβούμενοι ότι το σφάλμα θα μπορούσε να χρησιμοποιηθεί από τους hackers, η Promon καθυστέρησε την κυκλοφορία των λεπτομερειών του σφάλματος έως ότου η Google διορθώσει την «κρίσιμη» ευπάθεια.
Ένας εκπρόσωπος της Google δήλωσε ότι η εταιρεία δεν εντόπισε στοιχεία ενεργής εκμετάλλευσης. «Εκτιμούμε το έργο των ερευνητών και έχουμε κυκλοφορήσει μια λύση για το ζήτημα που εντόπισαν.» Ο εκπρόσωπος είπε ότι το Google Play Protect, μια υπηρεσία ελέγχου εφαρμογών ενσωματωμένη σε συσκευές Android, αποκλείει εφαρμογές που εκμεταλλεύονται την ευπάθεια Strandhogg 2.0.
Το Standhogg 2.0 λειτουργεί κάνοντας κατάχρηση στο σύστημα πολλαπλών εργασιών του Android, το οποίο παρακολουθεί κάθε προσφάτως ανοιχτή εφαρμογή. Σε δεύτερη φάση ένα θύμα θα έπρεπε να κατεβάσει μια κακόβουλη εφαρμογή – μεταμφιεσμένη ως μια κανονική εφαρμογή – που μπορεί να εκμεταλλευτεί την ευπάθεια του Strandhogg 2.0. Μόλις γίνει εγκατάσταση και ένα θύμα ανοίξει την νόμιμη εφαρμογή, η κακόβουλη εφαρμογή παραβιάζει γρήγορα την εφαρμογή και εισάγει κακόβουλο περιεχόμενο στη θέση της, όπως ένα ψεύτικο παράθυρο σύνδεσης.
Όταν ένα θύμα εισάγει τον κωδικό πρόσβασής του στην ψεύτικη εφαρμογή, οι κωδικοί πρόσβασης αποστέλλονται στους servers του hacker. Τότε εμφανίζει η πραγματική εφαρμογή αφού η σύνδεση ήταν πραγματική.
Το Strandhogg 2.0 δεν χρειάζεται δικαιώματα Android για να τρέξει, αλλά μπορεί επίσης να παραβιάσει τα δικαιώματα άλλων εφαρμογών που έχουν πρόσβαση στις επαφές, τις φωτογραφίες και τα μηνύματα ενός θύματος ενεργοποιώντας ένα αίτημα άδειας.
“Εάν η άδεια εκχωρηθεί, τότε το malware έχει αυτήν την επικίνδυνη άδεια”, δήλωσε ο Hansen.
Μόλις παραχωρηθεί αυτή η άδεια, η κακόβουλη εφαρμογή μπορεί να ανεβάσει δεδομένα από το τηλέφωνο ενός χρήστη. Το malware μπορεί να ανεβάσει ολόκληρες συνομιλίες με γραπτά μηνύματα, δήλωσε ο Hansen, επιτρέποντας στους hackers να νικήσουν δύο παραμέτρους προστασίας ταυτότητας.
Ο κίνδυνος για τους χρήστες είναι μάλλον χαμηλός, αλλά όχι μηδενικός. Η Promon είπε ότι η ενημέρωση συσκευών Android με τις πιο πρόσφατες ενημερώσεις ασφαλείας – τώρα – θα διορθώσει την ευπάθεια. Συνιστάται στους χρήστες να ενημερώσουν τις συσκευές Android τους το συντομότερο δυνατό.
