وایکینگ‌های دنیای مجازی
شناسایی آسیب‌پذیری روز صفر StrandHogg در اندروید
کد مطلب: 16091
تاریخ انتشار : يکشنبه ۱۷ آذر ۱۳۹۸ ساعت ۱۲:۵۸
 
دانشمندان امنیت سایبری درباره سوءاستفاده هکرها از آسیب‌پذیری روز صفر StrandHogg در اندروید خبر دادند.
شناسایی آسیب‌پذیری روز صفر StrandHogg در اندروید
 
 
Share/Save/Bookmark
دانشمندان امنیت سایبری درباره سوءاستفاده هکرها از آسیب‌پذیری روز صفر StrandHogg در اندروید خبر دادند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان شرکت نروژی Promon از شناسایی آسیب‌پذیری در سیستم عامل اندروید خبر داده‌اند که بدون نیاز به سطح دسترسی root، یک برنامه مخرب را قادر به ربودن کنترل برنامه‌های معتبر نصب شده بر روی دستگاه قربانی می‌کند. شرکت Promon این آسیب‌پذیری را StrandHogg نامگذاری کرده‌است.

بر طبق گزارش منتشر شده از سوی شرکت Promon با بهره‌جویی از StrandHogg، ممکن است حتی کاربران با دانش فنی بالا نیز ناخواسته اقدام به اعطای دسترسی‌های اعلا به یک برنامه مخرب یا ورود اطلاعات احرازهویت در صفحات ثبت ورود (Login) جعلی کنند.

Promon اعلام کرد که آسیب‌پذیری StrandHogg مورد بهره‌جویی برخی از مهاجمان سایبری قرار گرفته‌است. با مشارکت Promon و Lookout (شرکتی فعال در حوزه امنیت برنامه‌های دستگاه‌های همراه)، ۳۶ برنامه حاوی اکسپلویت StrandHogg شناسایی شده‌است. در گزارش Promon بدون ذکر عناوین این برنامه‌ها، به عدم به اشتراک‌گذاری آنها بر روی بازار رسمی گوگل، Play Store اشاره شده‌است. به نظر می‌رسد که برنامه‌های مذکور در مرحله دوم آلودگی و توسط برنامه‌های مخرب دیگری که بر روی Play Store در دسترس کاربران قرار دارند بر روی دستگاه کاربران دریافت می‌شده‌اند.

StrandHogg آسیب‌پذیری است که از راهبری نادرست بخش چندکارگی (Multitasking) در سیستم‌عامل اندروید که وظیفه تعویض آن دسته از فرامین و فرایندهایی را که عملیات یا برنامه‌های متفاوتی را مدیریت می‌کنند برعهده دارد ناشی می‌شود. به بیان ساده چندکاره‌گی، مکانیزمی است که سیستم عامل اندروید را قادر به اجرای هم‌زمان چندین پروسه و جایگزین کردن آنها به‌محض ورود و خروج هر برنامه از دید کاربر (صفحه نمایش دستگاه) می‌کند.

یک برنامه مخرب نصب شده بر روی یک گوشی هوشمند اندروید می‌تواند با بهره‌جویی از StrandHogg اقدام به اجرای کد مخرب در زمان اجرای یک برنامه دیگر از طریق قابلیتی با عنوان Task Reparenting کند.

با این روش در زمانی که کاربر یک برنامه معتبر نصب شده بر روی دستگاه را اجرا می‌کند با صفحه‌ای روبرو می‌شود که توسط کد برنامه مخرب ایجاد شده است. همانطور که در تصویر زیر نمایش داده شده است انتخاب آیکون یک برنامه مجاز منجر به اجرای کد توسط یک برنامه مخرب می‌شود. کدی که می‌تواند از کاربر تقاضای دسترسی خاصی را کند یا با نمایش صفحه‌ای فیشینگ اطلاعات احرازهویت او را سرقت کند.

از آنجا که این اقدامات پس از اجرای برنامه مورد اعتماد کاربر صورت می‌پذیرند، کاربر این‌طور تلقی می‌کند که افزایش سطح دسترسی از سوی برنامه مجاز درخواست شده و یا صفحه جعلی ورود نام کاربری و گذرواژه (فیشینگ) نشأت گرفته شده از سوی برنامه‌ای است که اندکی قبل بر روی نشان آن کلیک کرده بود این نحوه نمایش درخواست‌های دروغین و صفحات جعلی آن قدر برای کاربران باورپذیر است که محققان Promon شناسایی حملات مبتنی بر StrandHogg را تقریباً غیرممکن توصیف کرده‌اند.

علاوه‌بر آن، با بهره‌جویی از StrandHogg مهاجم قادر به اجرای امور زیر خواهدبود:

• شنود صدای کاربر با استفاده از میکروفون
• تصویربرداری از طریق دوربین
• خواندن و ارسال پیامک
• برقراری ارتباط تلفنی و/یا ضبط مکالمات
• دسترسی به تصاویر و فایل‌های شخصی
• استخراج موقعیت و اطلاعات GPS
• دسترسی به فهرست تماس‌ها
• دسترسی به سوابق تلفن

نگران‌کننده‌تر اینکه StrandHogg بدون نیاز به سطح دسترسی root بر تمامی نسخ اندروید حتی آخرین نسخه آن (۱۰) قابل بهره‌جویی است.

در جریان بررسی‌های صورت گرفته توسط این محققان، ۵۰۰ برنامه متداول اندروید قابل دسترس بر رویPlay Store نیز مورد تحلیل قرار گرفته که بر اساس نتایج حاصل شده پروسه‌های متعلق به تمامی آنها قابل ربوده شدن توسط حملات مبتنی بر StrandHogg است.

Promon در تابستان امسال گروه توسعه‌دهنده اندروید را در جریان وجود این آسیب‌پذیری قرار داده بود. اما از آنجا که در مهلت عرفاً ۹۰ روزه، این گروه نسبت به ترمیم آن اقدام نکرد، وجود آسیب‌پذیری توسط Promon به‌صورت عمومی اطلاع‌رسانی شده‌است.

در سال ۲۰۱۵ نیز، تیمی از دانشگاه پنسیلوانیا تحقیق مشابهی را منتشر کرد که در آن به‌صورت نظری به حمله‌ای برای ربودن فرامین با هدف جعل کردن (Spoof) رابط کاربری، از کاراندازی سرویس (Denial-of-Service) یا رصد فعالیت‌های کاربر پرداخته شده‌بود.

Promon، آسیب‌پذیری StrandHogg را نسخه‌ای گسترده‌تر از آنچه که محققان دانشگاه پنسیلوانیا در چهار سال پیش به آن اشاره کرده‌بودند، می‌داند.

StrandHogg کلمه‌ای برگرفته شده از زبان قدیمی ساکنان اسکاندیناوی است که به یکی از تاکتیک‌های وایکینگ‌ها در حمله به مناطق ساحلی و غارت و به اسارت گرفتن مردم برای باج‌گیری اشاره دارد.
مرجع : مرکز مدیریت راهبردی افتا