• 發布單位:TWCERT/CC
• 更新日期:2020-05-27
• 點閱次數:1962

資安廠商 Promon 的研究人員，近日發表一篇針對 Android 平台安全性的研究報告，揭露一個名為 StrandHogg 2.0 的嚴重資安漏洞，可能導致用戶手機和平板上的 App 遭到挾持，多種機敏資訊亦可能遭竊。

StrandHogg 2.0 的運作原理，和去年發現的 StrandHogg 相當類似，都可在感染後將自己隱藏在正常的軟體身後；當用戶開啟正常軟體時，真正執行的並不是這個正常版的軟體，而是植入了惡意軟體程式碼的「分身」。

新版 StrandHogg 2.0 除了上述的類似功能外，還能讓惡意軟體偽裝成任意的 Android App；先前的版本只能偽裝成 TaskAffinity 這支 App，甚至能在用戶點按開啟任何 App 時立刻偽裝成該 App。

用戶一旦感染利用此嚴重漏洞的惡意軟體，各種透過遭偽裝 App 進行的活動記錄和產生的資訊，都可能曝露在嚴重資安風險之下；包括各種通聯記錄、相片或影片、各種登入資訊、金融帳戶活動與登入個資、手機所在位置座標資料等，都有可能被竊。

目前尚未傳出有任何攻擊行動是基於 StrandHogg 2.0 這個嚴重漏洞，資安廠商 Promon 發展出了概念證明的範例攻擊程式，同時提供說明影片。

這個編號為 CVE-2020-0096 的危險程度評分高達 7.8 分，屬於「高」危險等級。過去針對第一代 StrandHogg 的修補手法，並不適用於 StrandHogg 2.0。

Google 已針對這個漏洞發表適用於 Android 9、8.1、8 的修補程式；但較舊的 Android 版本仍有近四成的使用量，尚未獲得適當的修補。最新版的 Android 10 並無此一漏洞。

• CVE編號：CVE-2020-0096
• 影響版本：Android 9 與之前版本
• 解決方案：Android 9、8.1、8 用戶可更新至最新版本，其餘較舊版本尚無修補工具