[釘科技編譯]據(jù)ZDNe報道，挪威安全公司Promon的研究人員安全研究人員在安卓系統(tǒng)上發(fā)現(xiàn)了一個新的還沒有被修復的漏洞，這個漏洞被稱為Strandhogg。

Promon研究人員表示：

“這個漏洞可以使攻擊者能夠成功地偽裝成幾乎所有應用程序。在這個示例中，攻擊者通過利用如taskAffinity和allowTaskReparenting等的任務狀態(tài)轉(zhuǎn)換條件，成功地騙過系統(tǒng)并啟動了虛假的界面。當受害者在這個假界面中輸入他們的登錄信息時，攻擊者會立即收到這些信息，隨后可以登錄并控制那些應用程序?！?/span>

 “攻擊者可以要求獲得任何權(quán)限，包括SMS、照片、麥克風和GPS定位，從而允許他們讀取設置中的短信、查看照片、竊聽并且跟蹤受害者?！?/span>

ZDNet引述研究人員表述，Promon在今年夏天已向Google通報這個漏洞，但Google至今仍未修補，因此決定向大眾公布次漏洞。研究人員透露，現(xiàn)在所有的Android版本都有此漏洞，包括最新推出的Android 10。

研究人員亦表示，有36款惡意軟件已開始利用此漏洞，當中包括著名的BankBot木馬。該木馬能偽裝成合法的銀行應用軟件，盜取用戶密碼，甚至攔截銀行傳送給用戶的短信，避開雙重認證步驟。

該研究還稱，目前沒有任何可靠的方法來阻止或者探測到這種任務劫持攻擊，不過用戶可以通過注意任何異常情況來發(fā)現(xiàn)這類攻擊，例如已經(jīng)登錄的應用要求再次登錄、不包含應用程序名稱的要求授權(quán)窗口、應用程序請求不應該需要的權(quán)限、用戶界面中的按鈕和鏈接點不了沒反應，以及返回鍵失效了。

（釘科技編譯，編譯來源：https://www.zdnet.com/article/android-new-strandhogg-vulnerability-is-being-exploited-in-the-wild/）