Strandhogg漏洞的风险上的顶级Android应用程序

新发现的Android漏洞允许恶意软件作为合法的应用程序构成，使网络犯罪分子能够访问短信，照片，登录凭据和位置信息，以及给予他们制作和录制电话对话的能力并激活根据宣传威胁的威胁研究人员的说法，设备的相机和麦克风

被称为北京掠夺战术的旧北北梦话，在野外的专业金融服务安全公司在野外发现漏洞的漏洞报告了捷克的几家银行客户损失了它。

在检查疑似恶意软件的样本时，它能够识别使其从银行账户中窃取的漏洞。另一个合作伙伴业务的进一步研究了，了解，确认至少有36个其他恶意应用程序利用漏洞，其中包括广泛钞票特洛伊木马的变种。

“我们已经看到了攻击者利用斯特兰德霍夫的货币收益，”宣传国首席技术官（CTO）汤姆·莱尼索汉森说。

“如果留下未解决的话，这对潜在的影响可能在规模和造成的损坏量方面是前所未有的，因为大多数应用程序默认易受攻击，并且所有Android版本都受到影响。”

Strandhogg影响了Google的移动操作系统的所有版本，包括Android 10，最近的发布以及植根和rootoed设备。

它利用Android的多任务系统中的漏洞，该系统允许恶意应用程序以目标设备上存在的任何其他应用程序多虚拟化。Exproit基于TaskAftinity Android控制设置，允许任何应用程序在其所需的多任务系统中占用的任何身份。

这意味着恶意应用程序可以在假装成为合法应用程序的同时询问各种权限。它通过询问不同针对性应用程序的权限来询问自然的权限，因此可以降低用户的防御。

它还可以欺骗设备，以便单击合法应用程序的应用程序图标时，更换恶意版本，窃取登录凭据和其他敏感信息。

突发报告说，四年前在美国宾州州立大学的研究大大扩展了它的研究，从理论上识别了脆弱性的许多方面。但是，它声称谷歌当时已经挥手了这一点，它使Strandhogg能够在实践中开发和开发。

谷歌发言人表示，它现在已经搬到了网络罪犯利用Strandhogg的能力：“我们感谢研究人员的工作，并暂停了他们确定的潜在有害的应用程序。他们说，谷歌游戏保护检测和阻止恶意应用程序，包括使用这种技术的应用程序。

“另外，我们继续调查，以改善谷歌游动保护保护用户免受类似问题的能力。”

邮务指出，它测试的特定样本尚未从Google Play本身下载，而是通过在Android商店分发的Dropper应用程序安装 - 谷歌现在已暂停的应用程序。

它补充说，即便如此，恶意应用程序继续发布，并且仍然能够在雷达下滑动，因此建议谨慎。

Opespan高级产品营销经理Sam Bakken说：“正如您想象的那样，犯罪分子在被盗移动银行凭据中持续货币化潜力，并访问通过SMS发送的一次性密码.PROMON最近的发现使得脆弱性成为其迄今为止的漏洞。

“由于四年来，消费者和App开发人员相似地暴露于各种类型的欺诈。此外，现在已经确定了至少36个攻击漏洞的恶意软件示例，因为已经识别到2017年。他说，这将向您展示攻击者意识到漏洞，并积极利用它来窃取银行资金和金钱，“他说。

Bakken指出了许多步骤，即在应用程序设计过程中可以采取的步骤，以确保开发人员能够在设计阶段将安全性建立在他们的产品中。

这些包括提供安全的代码教育;制作定期安全测试应用程序的静态和动态分析工作流程项目;仅使用具有强大身份验证的可信软件开发套件（SDK），可确保数据在休息和运输中受到保护;并使用更先进的技术，如应用屏蔽和运行时保护，为野外应用提供额外的应用。

“各种移动应用程序安全技术在应用内保护的保护伞下，包括应用屏蔽和运行时保护，使应用程序开发人员更容易减轻由Android和iOS中的安全问题产生的这些曝光窗口，”Bakken说。“Gartner预测，到2022年，可以使用应用内保护可以防止至少50％的ClickJacking和移动应用程序的成功攻击。”