挪威安全公司 Promon 的安全研究人員在 Android 設(shè)備中發(fā)現(xiàn)了一個(gè)漏洞，該漏洞可能使黑客通過誘騙用戶在非法應(yīng)用程序中鍵入密碼來竊取用戶數(shù)據(jù)，會(huì)影響所有運(yùn)行 Android 9.0 及更低版本的設(shè)備。

Strandhogg 2.0 的工作原理是誘騙受害者以為他們?cè)诤戏☉?yīng)用程序上輸入密碼，而不是與惡意覆蓋程序進(jìn)行交互。Strandhogg 2.0 還可以劫持其他應(yīng)用程序權(quán)限，以竊取敏感的用戶數(shù)據(jù)（如聯(lián)系人、照片）并跟蹤受害者的實(shí)時(shí)位置。Promon 的創(chuàng)始人對(duì) Techcrunch 表示，Strandhogg 2.0 比其前身更具惡意性，因?yàn)樗皫缀鯚o法被發(fā)現(xiàn)”。

不過，Promon 方面表示，這一漏洞目前尚未被廣泛利用，它已經(jīng)向 Google 通報(bào)了 CVE-2020-0096 安全漏洞，并將其標(biāo)記為“嚴(yán)重”。

Strandhogg 2.0 漏洞利用了 Android 的多任務(wù)處理功能，該功能允許用戶在不同的應(yīng)用程序之間切換而無需關(guān)閉它們。用戶則必須下載可利用 Strandhogg 2.0 漏洞的惡意應(yīng)用程序（ 偽裝成普通應(yīng)用程序 ）才會(huì)受到此漏洞影響。

當(dāng)用戶在手機(jī)上打開合法應(yīng)用程序時(shí)，惡意應(yīng)用程序會(huì)冒充它并創(chuàng)建一個(gè)偽造的登錄窗口，以竊取用戶密碼。在偽造的疊加層鍵入的憑據(jù)將被發(fā)送到黑客的服務(wù)器。

受 Strandhogg 2.0 錯(cuò)誤影響的應(yīng)用不需要任何特殊權(quán)限即可顯示在其他應(yīng)用上。它可以劫持其他應(yīng)用程序的權(quán)限，使其成為致命的漏洞，可以用來竊取數(shù)據(jù)，包括照片、視頻、文檔和其他敏感信息。如果惡意應(yīng)用設(shè)法獲得所需的權(quán)限，它也可能從用戶的設(shè)備中竊取短信，包括兩步驗(yàn)證碼。

研究人員尚未發(fā)現(xiàn)任何黑客利用該漏洞的證據(jù)，但與此同時(shí)，他們表示，由于該漏洞的隱晦性，沒有“好的方法”來檢測(cè)攻擊。

目前，Google 已經(jīng)在最新的 Android 安全更新中發(fā)布了該漏洞的補(bǔ)丁程序，建議用戶盡快更新其 Android 設(shè)備。