[釘科技編譯]據(jù)ZDNe報(bào)道，挪威安全公司Promon的研究人員安全研究人員在安卓系統(tǒng)上發(fā)現(xiàn)了一個(gè)新的還沒有被修復(fù)的漏洞，這個(gè)漏洞被稱為Strandhogg。

Promon研究人員表示：

“這個(gè)漏洞可以使攻擊者能夠成功地偽裝成幾乎所有應(yīng)用程序。在這個(gè)示例中，攻擊者通過利用如taskAffinity和allowTaskReparenting等的任務(wù)狀態(tài)轉(zhuǎn)換條件，成功地騙過系統(tǒng)并啟動(dòng)了虛假的界面。當(dāng)受害者在這個(gè)假界面中輸入他們的登錄信息時(shí)，攻擊者會(huì)立即收到這些信息，隨后可以登錄并控制那些應(yīng)用程序?！?/span>

 “攻擊者可以要求獲得任何權(quán)限，包括SMS、照片、麥克風(fēng)和GPS定位，從而允許他們讀取設(shè)置中的短信、查看照片、竊聽并且跟蹤受害者?！?/span>

ZDNet引述研究人員表述，Promon在今年夏天已向Google通報(bào)這個(gè)漏洞，但Google至今仍未修補(bǔ)，因此決定向大眾公布次漏洞。研究人員透露，現(xiàn)在所有的Android版本都有此漏洞，包括最新推出的Android 10。

研究人員亦表示，有36款惡意軟件已開始利用此漏洞，當(dāng)中包括著名的BankBot木馬。該木馬能偽裝成合法的銀行應(yīng)用軟件，盜取用戶密碼，甚至攔截銀行傳送給用戶的短信，避開雙重認(rèn)證步驟。

該研究還稱，目前沒有任何可靠的方法來阻止或者探測(cè)到這種任務(wù)劫持攻擊，不過用戶可以通過注意任何異常情況來發(fā)現(xiàn)這類攻擊，例如已經(jīng)登錄的應(yīng)用要求再次登錄、不包含應(yīng)用程序名稱的要求授權(quán)窗口、應(yīng)用程序請(qǐng)求不應(yīng)該需要的權(quán)限、用戶界面中的按鈕和鏈接點(diǎn)不了沒反應(yīng)，以及返回鍵失效了。

（釘科技編譯，編譯來源：https://www.zdnet.com/article/android-new-strandhogg-vulnerability-is-being-exploited-in-the-wild/）