محققان امنیت سایبری آسیبپذیری وصلهنشدهی جدیدی را در سیستم عامل اندروید کشف کردهاند که با هدف سرقت اسناد بانکی کاربران و سایر اطلاعات ورود به سیستم و همچنین، جاسوسی بر روی فعالیت آنها، بهطور فعال توسط دهها برنامهی مخرب تلفن همراه در دنیای واقعی مورد بهرهبرداری قرار میگیرد. این آسیبپذیری که Strandhogg نام دارد، در ویژگی چندوظیفهای اندروید وجود داشته و میتواند توسط یک برنامهی مخرب نصبشده بر روی دستگاه و با ظاهرشدن در قالب مانند هر برنامهی دیگری، از جمله هر برنامهی دارای امتیازات سیستم، مورد بهرهبرداری قرار بگیرد.
به عبارت دیگر، هنگامیکه کاربر آیکون یک برنامهی قانونی را انتخاب میکند، بدافزار با بهرهبرداری از آسیبپذیری Strandhogg میتواند با هدف نمایش یک رابط جعلی بهجای راهاندازی برنامهی قانونی، این وظیفه (task) را متوقف کرده و به سرقت ببرد. این آسیبپذیری با فریب کاربران، مبنیبر اینکه از یک برنامهی قانونی استفاده میکنند، این امکان را برای برنامههای مخرب فراهم میکند تا با استفاده از صفحات جعلی ورود به سیستم، گواهینامههای آنها را بهراحتی سرقت کنند.
به گفتهی محققان: «این آسیبپذیری به مهاجم اجازه میدهد تا تقریباً هر برنامهای را با روشی بسیار باورپذیر جعل کند. بهعنوان مثال، مهاجم میتواند با موفقیت سیستم را گمراه کرده و با سوءاستفاده از برخی شرایط انتقال حالت وظیفه، مانند taskAffinity و allowTaskReparenting، رابط کاربری (UI) جعلی را راهاندازی کند. هنگامیکه قربانی گواهینامههای ورود به سیستم را در این رابط وارد میکند، جزئیات حساس بلافاصله برای مهاجم ارسال میشوند، که مهاجم پس از آن میتواند به سیستم وارد شده و برنامههای حساس به امنیت را کنترل کند.»
یک برنامهی مخرب علاوهبر فیشینگ گواهینامههای ورود به حساب، همچنین میتواند با فریب کاربران به دادن مجوزهای حساس دستگاه، درحالیکه در قالب یک برنامهی قانونی ظاهر شده است، قابلیتهای خود را به میزان قابلتوجهی افزایش دهد. به گفتهی محققان، مهاجم میتواند به هرگونه مجوزی از جمله پیام کوتاه، عکس، میکروفون و سیستم تعیین موقعیت جهانی (GPS) دسترسی داشته باشد که به او اجازه میدهد پیامها را بخواند، عکسها را مشاهده کند، استراق سمع کند و حرکات قربانی را ردیابی کند.
حملات سرقت وظیفهی Strandhogg که توسط محققان شرکت امنیتی نروژی Promon کشف شدهاند، بهطور بالقوه خطرناک هستند، زیرا:
- تقریباً غیرممکن است که کاربران هدف بتوانند حمله را مشاهده کنند،
- میتوان برای ربودن وظایف هر برنامهی نصبشده بر روی دستگاه از آن استفاده کرد،
- میتواند برای درخواست هرگونه مجوز دستگاه بهطور جعلی مورد استفاده قرار گیرد،
- بدون دسترسی ریشه قابل بهرهبرداری است،
- بر روی تمامی نسخههای اندروید کار میکند، و
- به هیچ مجوز خاصی بر روی دستگاه احتیاج ندارد.
شرکت امنیتی Promon پس از تجزیهوتحلیل یک تروجان بانکی مخرب که حسابهای بانکی چندین مشتری در جمهوری چک و پول آنها را به سرقت برده برد، این آسیبپذیری را کشف کرد. به گفتهی محققان، برخی از برنامههای مخرب شناساییشده نیز از طریق چندین دراپر (droppers) و برنامههای دانلودکنندهی آنها که در فروشگاه Google Play موجود هستند، گسترش یافتهاند. شرکت امنیت موبایل Lookout نیز نمونهی مخرب را مورد تجزیهوتحلیل قرار داده و تأیید کرد که حداقل ۳۶ برنامهی مخرب را که در دنیای واقعی از آسیبپذیری Strandhogg بهرهبرداری میکنند، شناسایی کرده است.
به گفتهی محققان: «این برنامهها درحالحاضر حذف شدهاند، اما علیرغم مجموعهی امنیتی Google Play Protect، برنامههای Dropper همچنان منتشر شده و غالباً اقدامات امنیتی را دور میزنند. برخی از این برنامهها قبل از مشاهده و حذف، میلیونها بار دانلود میشوند.» اگرچه شرکت امنیتی Promon، آسیبپذیری Strandhogg را در تابستان گذشته به تیم امنیتی گوگل گزارش کرده است، اما در تاریخ ۲ دسامبر جزئیاتی منتشر شد مبنیبر اینکه، این غول فناوری حتی پس از یک دورهی زمانی ۹۰ روزه هنوز نتوانسته است این آسیبپذیری را وصله کند.
اگرچه هیچ روش مؤثر و قابلاعتمادی برای مسدودکردن یا شناسایی حملات ربودن وظیفه وجود ندارد، اما کاربران هنوز هم میتوانند با توجه به اختلافها، چنین حملههایی را شناسایی کنند، مانند:
- برنامهای که قبلاً وارد آن شدهاید، مجددا درخواست ورود به سیستم میکند،
- پاپآپهای (popups) مجوز که شامل نام برنامه نیستند،
- مجوزهایی از برنامه درخواست شده که نیازی به آنها ندارد،
- دکمهها و لینکهای موجود در رابط کاربری، بههنگام کلیک بر روی آنها، هیچکاری انجام نمیدهند،
- دکمهی برگشت همانطورکه انتظار میرود، کار نمیکند.