🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

Android系统中又双叒叕发现新漏洞!

安全小E E安全 2022-05-13

更多全球网络安全资讯尽在E安全官网 www.easyaq.com

       

近日,挪威专业应用安全保护公司Promon的安全研究人员表示,他们发现了Android操作系统中的一个漏洞,并将其命名为StrandHogg,该漏洞使恶意应用可以劫持合法程序,并代表他们执行恶意操作。

 

目前,已发现了36个使用了StrandHogg漏洞的应用程序。Promon并未列出这些应用程序的具体名称,但表示,这些应用程序均无法通过官方Play商店直接使用。
 
据了解,该漏洞可用于诱骗用户,在点击恶意应用程序并与之交互时,向其授予侵入性权限。

 

关于漏洞的技术细节,StrandHogg其实是OS多任务处理组件中的一个错误,这种机制使Android操作系统可以一次运行多个进程,并在应用程序进入或退出用户视图时在它们之间切换。当用户启动另一个应用程序时,通过任务重做功能,安装在Android手机上的恶意应用程序就可以利用StrandHogg错误来触发恶意代码。

 

研究人员表示,通过合法应用程序的包装,使得StrandHogg攻击很难直接被用户发现。StrandHogg攻击不需要root访问权限即可运行,并且可以在所有Android OS版本上运作。Promon研究人员还测试了Google Play商店中可用的前500个最流行的Android应用程序,发现可以通过StrandHogg攻击劫持所有应用程序的进程以执行恶意操作! 


     Promon表示,已在今年夏季就将该多任务组件中的漏洞通知了Android有关部门,但Android OS开发人员在超过90天后仍未解决该问题。

 

此前,在2015年,宾夕法尼亚州立大学的一个学者团队曾发表过类似的研究,描述了有关可用于UI欺骗、拒绝服务或用户监视的任务劫持攻击的理论攻击。Promon表示,StrandHogg攻击大大扩展了2015年类似研究中所描述的概念。

      

注:本文由E安全编译报道,转载请注原文地址 
https://www.easyaq.com

推荐阅读:


▼点击“阅读原文” 查看更多精彩内容


喜欢记得打赏小E哦!


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存