Il bug di StrandHogg 2.0 consente al malware di impersonare un’applicazione reale e rubare i dati degli utenti

I ricercatori della società di sicurezza norvegese Promon hanno scoperto una nuova vulnerabilità legata all’elevazione dei privilegi in Android che consente agli hacker di accedere a quasi tutte le applicazioni.

Questo errore Android denominato “StrandHogg 2.0“(CVE-2020-0096) attacca un dispositivo che mostra un’interfaccia falsa, che induce gli utenti a rivelare informazioni riservate inclusi messaggi SMS privati ​​e foto, rubare le credenziali di accesso alle vittime, tracciare i movimenti GPS, effettuare e / o registrare conversazioni telefoniche e spiare la fotocamera e il microfono di un telefono.

A differenza del famigerato Vulnerabilità di StrandHogg che ha consentito alle app dannose di dirottare la funzionalità multitasking di Android e “assumere liberamente qualsiasi identità nel sistema multitasking desiderato”, il nuovo difetto di StrandHogg 2.0 è un’elevazione dei privilegi di vulnerabilità che consente al malware di accedere a quasi tutte le app Android.

“Se la vittima immette le proprie credenziali di accesso all’interno di questa interfaccia, tali dettagli riservati vengono immediatamente inviati all’attaccante, che può quindi accedere e controllare le applicazioni sensibili alla sicurezza”, afferma Promon.

Tuttavia, a differenza di StrandHogg che può attaccare solo le applicazioni una alla volta, StrandHogg 2.0, essendo il gemello più astuto, ha imparato come, con le risorse giuste su misura per applicazione, “attacchi dinamicamente quasi tutte le applicazioni su un dato dispositivo contemporaneamente. Al tocco. di un pulsante ”.

Ciò che lo rende ancora peggiore è che StrandHogg 2.0 è “quasi impercettibile”, il che rende difficile il rilevamento per antivirus e scanner di sicurezza e, di conseguenza, rappresenta un grave pericolo per l’utente finale.

Promon prevede che gli aggressori cercheranno di utilizzare StrandHogg e StrandHogg 2.0 insieme perché entrambe le vulnerabilità si trovano in una posizione unica per attaccare i dispositivi in ​​modi diversi, e così facendo si garantirebbe che l’area di destinazione sia la più ampia possibile.

Allo stesso modo, molte delle mitigazioni che possono essere eseguite contro StrandHogg non si applicano a StrandHogg 2.0 e viceversa.

Le vulnerabilità di StrandHogg 2.0 non interessano i dispositivi che eseguono Android 10. Tuttavia, poiché si dice che una percentuale significativa di utenti Android utilizzi ancora versioni precedenti (Android 9.0 e precedenti), una grande percentuale (91,8% delle risorse Android degli utenti) della popolazione mondiale a rischio.

I ricercatori di Promon hanno pubblicato un video demo di StrandHogg 2.0 che mostra come funzionerebbe l’exploit:

Promon ha notificato a Google la vulnerabilità il 4 dicembre 2019, consentendo a Google di creare una patch per il bug. Il gigante della ricerca ha rilasciato una patch per i partner dell’ecosistema Android nell’aprile 2020 e per i dispositivi con Android 8.0, 8.1 e 9.0.

Poiché molti OEM non rilasciano sempre questi aggiornamenti per mantenere aggiornati i propri dispositivi, questo mette a rischio milioni di dispositivi.

“Vediamo StrandHogg 2.0 come il gemello ancora più malvagio di StrandHogg. Sono simili in quanto gli hacker possono sfruttare entrambe le vulnerabilità per ottenere l’accesso a informazioni e servizi molto personali, ma dalla nostra vasta ricerca, possiamo vedere che StrandHogg 2.0 consente agli hacker di attaccare in modo molto più ampio e, allo stesso tempo, essere molto più difficile da rilevare. “Ha detto Tom Lysemose Hansen, CTO e fondatore di Promon.

Gli aggressori che cercano di sfruttare StrandHogg 2.0 saranno probabilmente già consapevoli della vulnerabilità originale di StrandHogg e la preoccupazione è che, se usati insieme, diventino un potente strumento di attacco per i malintenzionati.

“Gli utenti Android dovrebbero aggiornare i propri dispositivi al firmware più recente il prima possibile per proteggersi dagli attacchi utilizzando StrandHogg 2.0. Allo stesso modo, gli sviluppatori di applicazioni devono assicurarsi che tutte le applicazioni siano distribuite con l’estensione adeguate misure di sicurezza invece di mitigare i rischi di attacchi in natura “.

Un portavoce di Google ha affermato che la società non ha trovato alcuna prova che il malware sia stato attivamente sfruttato in natura fino ad oggi.

“Apprezziamo il lavoro dei ricercatori e abbiamo pubblicato una soluzione al problema che hanno identificato”, ha detto il portavoce di Google.

Inoltre, Google Play Protect, un servizio di rilevamento delle app integrato nei dispositivi Android, bloccherà le app che tentano di sfruttare la vulnerabilità StrandHogg 2.0.

Promon consiglia agli utenti di aggiornare i propri dispositivi Android con aggiornamenti di sicurezza rilasciati di recente il prima possibile per correggere la vulnerabilità.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *