挪威一个研究小组公开了一个超危漏洞，该漏洞编号为CVE-2020-0096，影响Android操作系统，攻击者可利用该漏洞执行复杂的Strandhogg攻击。

2019年12月，Promon公司的安全专家披露了一个被称为StrandHogg的安全漏洞，该漏洞已遭到数十款恶意Android应用程序利用。

StrandHogg这个名字来自于一条古老的北欧用语，指的是维京人使用的一种战术，该战术包括突袭掠夺沿海地区和劫持人质进行勒索。

该漏洞存在于Android的多任务处理系统中，安装在脆弱的设备上的恶意应用程序可利用该漏洞伪装成合法应用程序提升权限。

恶意Android应用程序可使用StrandHogg策略诱使用户授权其控制该设备。

利用授予该应用程序的权限，通过访问摄像头和麦克风，获取设备位置，读取SMS，捕获登录凭据（包括通过SMS发送的2FA代码），访问私人照片和视频，访问联系人和通话日志，以及拨打电话和对受害者的通话进行录音，攻击者可以监控用户。

发现Strandhogg漏洞的同一个挪威研究团队报告了CVE-2020-0096，并将该漏洞称为Strandhogg 2.0。Strandhogg 2.0漏洞影响所有的Android设备，除了运行Android Q/10的设备，这意味着80% - 85%的Android设备暴露在攻击风险之中。

Strandhogg 2.0漏洞是个提权漏洞，攻击者可利用该漏洞获取几乎所有安装在设备上的应用程序的访问权限。

攻击者利用Strandhogg 1.0可一次攻击一个应用程序，而Strandhogg 2.0允许攻击者“一键同时动态地攻击给定设备上的几乎任意应用程序，”所有攻击都不需要每个目标应用程序的预先配置。

Promon称，“如果受害者在这个界面中输入他们的登录凭据，那些敏感的详情就会立即被发给攻击者，攻击者接着就可以登录和控制安全敏感的应用程序。”

“一旦设备上安装了一个恶意应用程序，利用Strandhogg2.0，攻击者可以获取私人SMS信息和照片的访问权限，窃取受害者的登录凭据，追踪GPS运动轨迹，拨打电话或对手机通话进行录音，借助手机摄像头和麦克风监控用户。”

Strandhogg攻击无需root权限就可利用，并能对所有版本的Android系统起作用，目标用户无法发现Strandhogg攻击。

这个新的漏洞可被用于多种类型的钓鱼攻击，例如显示虚假的登录界面，收集不同类型的敏感信息，拒绝服务，和伪装成目标应用程序（例如SMS，GPS定位等）收集权限。

Promon的安全专家去年12月向Google报告了该漏洞，Google在2020年4月向设备制造公司发布了一个安全补丁，这些公司也将发布设备的安全更新。

本文源自Security Affairs；转载请注明出处。