安卓又现漏洞，黑客可以窃听甚至跟踪用户

[钉科技编译]据ZDNe报道，挪威安全公司Promon的研究人员安全研究人员在安卓系统上发现了一个新的还没有被修复的漏洞，这个漏洞被称为Strandhogg。

Promon研究人员表示：

“这个漏洞可以使攻击者能够成功地伪装成几乎所有应用程序。在这个示例中，攻击者通过利用如taskAffinity和allowTaskReparenting等的任务状态转换条件，成功地骗过系统并启动了虚假的界面。当受害者在这个假界面中输入他们的登录信息时，攻击者会立即收到这些信息，随后可以登录并控制那些应用程序。”

“攻击者可以要求获得任何权限，包括SMS、照片、麦克风和GPS定位，从而允许他们读取设置中的短信、查看照片、窃听并且跟踪受害者。”

ZDNet引述研究人员表述，Promon在今年夏天已向Google通报这个漏洞，但Google至今仍未修补，因此决定向大众公布次漏洞。研究人员透露，现在所有的Android版本都有此漏洞，包括最新推出的Android 10。

研究人员亦表示，有36款恶意软件已开始利用此漏洞，当中包括著名的BankBot木马。该木马能伪装成合法的银行应用软件，盗取用户密码，甚至拦截银行传送给用户的短信，避开双重认证步骤。

该研究还称，目前没有任何可靠的方法来阻止或者探测到这种任务劫持攻击，不过用户可以通过注意任何异常情况来发现这类攻击，例如已经登录的应用要求再次登录、不包含应用程序名称的要求授权窗口、应用程序请求不应该需要的权限、用户界面中的按钮和链接点不了没反应，以及返回键失效了。

（钉科技编译，编译来源：https://www.zdnet.com/article/android-new-strandhogg-vulnerability-is-being-exploited-in-the-wild/）