آسیب‌پذیری وصله‌نشده‌ی Strandhogg به‌طور فعال در دنیای واقعی مورد بهره‌برداری قرار می‌گیرد

محققان امنیت سایبری آسیب‌پذیری وصله‌نشده‌ی جدیدی را در سیستم عامل اندروید کشف کرده‌اند که با هدف سرقت اسناد بانکی کاربران و سایر اطلاعات ورود به سیستم و همچنین، جاسوسی بر روی فعالیت آن‌ها، به‌طور فعال توسط ده‌ها برنامه‌ی مخرب تلفن همراه در دنیای واقعی مورد بهره‌برداری قرار می‌گیرد. این آسیب‌پذیری که Strandhogg نام دارد، در ویژگی چندوظیفه‌ای اندروید وجود داشته و می‌تواند توسط یک برنامه‌ی مخرب نصب‌شده بر روی دستگاه و با ظاهرشدن در قالب مانند هر برنامه‌ی دیگری، از جمله هر برنامه‌ی دارای امتیازات سیستم، مورد بهره‌برداری قرار بگیرد.

به عبارت دیگر، هنگامی‌که کاربر آیکون یک برنامه‌ی قانونی را انتخاب می‌کند، بدافزار با بهره‌برداری از آسیب‌پذیری Strandhogg می‌تواند با هدف نمایش یک رابط جعلی به‌جای راه‌اندازی برنامه‌ی قانونی، این وظیفه (task) را متوقف کرده و به سرقت ببرد. این آسیب‌پذیری با فریب کاربران، مبنی‌بر این‌که از یک برنامه‌ی قانونی‌ استفاده می‌کنند، این امکان را برای برنامه‌های مخرب فراهم می‌کند تا با استفاده از صفحات جعلی ورود به سیستم، گواهی‌نامه‌های آن‌ها را به‌راحتی سرقت کنند.

به گفته‌ی محققان: «این آسیب‌پذیری به مهاجم اجازه می‌دهد تا تقریباً هر برنامه‌ای را با روشی بسیار باورپذیر جعل کند. به‌عنوان مثال، مهاجم می‌تواند با موفقیت سیستم را گمراه کرده و با سوءاستفاده از برخی شرایط انتقال حالت وظیفه، مانند taskAffinity و allowTaskReparenting، رابط کاربری (UI) جعلی را راه‌اندازی کند. هنگامی‌که قربانی گواهی‌نامه‌های ورود به سیستم را در این رابط وارد می‌کند، جزئیات حساس بلافاصله برای مهاجم ارسال می‌شوند، که مهاجم پس از آن می‌تواند به سیستم وارد شده و برنامه‌های حساس به امنیت را کنترل کند.»

یک برنامه‌ی مخرب علاوه‌بر فیشینگ گواهی‌نامه‌های ورود به حساب، همچنین می‌تواند با فریب کاربران به دادن مجوزهای حساس دستگاه، درحالی‌که در قالب یک برنامه‌ی قانونی ظاهر شده است، قابلیت‌های خود را به میزان قابل‌توجهی افزایش دهد. به گفته‌ی محققان، مهاجم می‎تواند به هرگونه مجوزی از جمله پیام کوتاه، عکس، میکروفون و سیستم تعیین موقعیت جهانی (GPS) دسترسی داشته باشد که به او اجازه می‌دهد پیام‌ها را بخواند، عکس‌ها را مشاهده کند، استراق سمع کند و حرکات قربانی را ردیابی کند.

حملات سرقت وظیفه‌ی Strandhogg که توسط محققان شرکت امنیتی نروژی Promon کشف شده‌اند، به‌طور بالقوه خطرناک هستند، زیرا:

  • تقریباً غیرممکن است که کاربران هدف بتوانند حمله را مشاهده کنند،
  • می‌توان برای ربودن وظایف هر برنامه‌ی نصب‌شده بر روی دستگاه از آن استفاده کرد،
  • می‌تواند برای درخواست هرگونه مجوز دستگاه به‌طور جعلی مورد استفاده قرار گیرد،
  • بدون دسترسی ریشه قابل بهره‌برداری است،
  • بر روی تمامی نسخه‌های اندروید کار می‌کند، و
  • به هیچ مجوز خاصی بر روی دستگاه احتیاج ندارد.

شرکت امنیتی Promon پس از تجزیه‌وتحلیل یک تروجان بانکی مخرب که حساب‌های بانکی چندین مشتری در جمهوری چک و پول آن‌ها را به سرقت برده برد، این آسیب‌پذیری را کشف کرد. به گفته‌ی محققان، برخی از برنامه‌های مخرب شناسایی‌شده نیز از طریق چندین دراپر (droppers) و برنامه‌های دانلودکننده‌ی آن‌ها که در فروشگاه Google Play موجود هستند، گسترش یافته‌اند. شرکت امنیت موبایل Lookout نیز نمونه‌ی مخرب را مورد تجزیه‌وتحلیل قرار داده و تأیید کرد که حداقل ۳۶ برنامه‌ی مخرب را که در دنیای واقعی از آسیب‌پذیری Strandhogg بهره‌برداری می‌کنند، شناسایی کرده است.

به گفته‌ی محققان: «این برنامه‌ها درحال‌حاضر حذف شده‌اند، اما علی‎رغم مجموعه‌ی امنیتی Google Play Protect، برنامه‌های Dropper همچنان منتشر شده و غالباً اقدامات امنیتی را دور می‌زنند. برخی از این برنامه‌ها قبل از مشاهده و حذف، میلیون‌ها بار دانلود می‌شوند.» اگرچه شرکت امنیتی Promon، آسیب‌پذیری Strandhogg را در تابستان گذشته به تیم امنیتی گوگل گزارش کرده است، اما در تاریخ ۲ دسامبر جزئیاتی منتشر شد مبنی‌بر این‌که، این غول فناوری حتی پس از یک دوره‌ی زمانی ۹۰ روزه هنوز نتوانسته است این آسیب‌پذیری را وصله کند.

اگرچه هیچ روش مؤثر و قابل‌اعتمادی برای مسدودکردن یا شناسایی حملات ربودن وظیفه وجود ندارد، اما کاربران هنوز هم می‌توانند با توجه به اختلاف‌ها، چنین حمله‌هایی را شناسایی کنند، مانند:

  • برنامه‌ای که قبلاً وارد آن شده‎اید، مجددا درخواست ورود به سیستم می‌کند،
  • پاپ‌آپ‌های (popups) مجوز که شامل نام برنامه نیستند،
  • مجوزهایی از برنامه درخواست شده که نیازی به آن‌ها ندارد،
  • دکمه‌ها و لینک‌های موجود در رابط کاربری، به‌هنگام کلیک بر روی آن‌ها، هیچ‌کاری انجام نمی‌دهند،
  • دکمه‌ی برگشت همان‌طورکه انتظار می‌رود، کار نمی‌کند.

منبع

پست‌های مشابه

Leave a Comment