Android平台出现重大的StrandHogg 2.0漏洞

在去年底揭露Android平台重大StrandHogg漏洞的挪威资安业者Promon，在本周公布了更危险、也更难侦测的StrandHogg 2.0漏洞，它能藏身于Android手机上的任何程式，窃取使用者所输入的凭证，由于行径与StrandHogg类似，而被命名为StrandHogg 2.0，幸好Google已在今年5月修补了此一编号为CVE-2020-0096的安全漏洞。

StrandHogg 1.0开采的是Android多工系统中的taskAffinity控制设定漏洞，只要使用者在Android装置上安装了开采该漏洞的恶意程式，它就能挟持装置上各种合法程式的任务，以合法程式名义取得各种权限。至于StrandHogg 2.0开采的则是Android平台上的权限扩张漏洞，它透过反射（reflection）来执行，允许恶意程式藏身在各种合法程式之后，以取得某些原本应赋予合法程式的权限。

这两个漏洞的性质很像，都允许恶意程式藏身在合法程式之后，并取得各种权限，因而可窃听使用者的麦克风、拍照、读取或传送简讯、盗走程式登入凭证、存取装置上的照片或档案、取得GPS与位置资讯，或者是存取通讯录与电话纪录。

相异之处在于它们属于不同的漏洞，StrandHogg 1.0会留下踪迹，StrandHogg 2.0却难以察觉，此外，StrandHogg 1.0漏洞一次只能用来攻击一个程式，但StrandHogg 2.0漏洞却只要一个按键，就能同时攻击装置上的所有程式。

当使用者于Android装置上安装了开采StrandHogg 2.0的恶意程式之后，在使用者开启合法程式时，跳出的即会是恶意程式的权限询问视窗，使用者通常会以为这是合法程式所需要的权限而同意授权，而且之后会再导回合法程式页面；倘若使用者开启的是金融程式，恶意程式也可跳出登入画面，并将使用者所输入的凭证传送到骇客服务器上，继之再导回合法程式页面。

其实Promon在去年12月，几乎是同时发现StrandHogg 1.0与StrandHogg 2.0漏洞，只是当时StrandHogg 1.0已遭骇客开采，至少已出现36个开采该漏洞的恶意程式，不得不在Google尚未修补前立即揭露；反之StrandHogg 2.0则尚未被开采，让Promon决定在Google修补后才公布，迄今Promon仍未看到有任何利用StrandHogg 2.0的恶意程式。

StrandHogg 2.0影响Android 9及之前的操作系统，并未波及最新的Android 10，尽管如此，依然有大量的Android装置含有该风险，因为根据Google的统计，只有8.2%的Android装置采用Android 10。