دانشمندان امنیت سایبری درباره سوءاستفاده هکرها از آسیبپذیری روز صفر StrandHogg در اندروید خبر دادند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان شرکت نروژی Promon از شناسایی آسیبپذیری در سیستم عامل اندروید خبر دادهاند که بدون نیاز به سطح دسترسی root، یک برنامه مخرب را قادر به ربودن کنترل برنامههای معتبر نصب شده بر روی دستگاه قربانی میکند. شرکت Promon این آسیبپذیری را StrandHogg نامگذاری کردهاست.
بر طبق گزارش منتشر شده از سوی شرکت Promon با بهرهجویی از StrandHogg، ممکن است حتی کاربران با دانش فنی بالا نیز ناخواسته اقدام به اعطای دسترسیهای اعلا به یک برنامه مخرب یا ورود اطلاعات احرازهویت در صفحات ثبت ورود (Login) جعلی کنند.
Promon اعلام کرد که آسیبپذیری StrandHogg مورد بهرهجویی برخی از مهاجمان سایبری قرار گرفتهاست. با مشارکت Promon و Lookout (شرکتی فعال در حوزه امنیت برنامههای دستگاههای همراه)، ۳۶ برنامه حاوی اکسپلویت StrandHogg شناسایی شدهاست. در گزارش Promon بدون ذکر عناوین این برنامهها، به عدم به اشتراکگذاری آنها بر روی بازار رسمی گوگل، Play Store اشاره شدهاست. به نظر میرسد که برنامههای مذکور در مرحله دوم آلودگی و توسط برنامههای مخرب دیگری که بر روی Play Store در دسترس کاربران قرار دارند بر روی دستگاه کاربران دریافت میشدهاند.
StrandHogg آسیبپذیری است که از راهبری نادرست بخش چندکارگی (Multitasking) در سیستمعامل اندروید که وظیفه تعویض آن دسته از فرامین و فرایندهایی را که عملیات یا برنامههای متفاوتی را مدیریت میکنند برعهده دارد ناشی میشود. به بیان ساده چندکارهگی، مکانیزمی است که سیستم عامل اندروید را قادر به اجرای همزمان چندین پروسه و جایگزین کردن آنها بهمحض ورود و خروج هر برنامه از دید کاربر (صفحه نمایش دستگاه) میکند.
یک برنامه مخرب نصب شده بر روی یک گوشی هوشمند اندروید میتواند با بهرهجویی از StrandHogg اقدام به اجرای کد مخرب در زمان اجرای یک برنامه دیگر از طریق قابلیتی با عنوان Task Reparenting کند.
با این روش در زمانی که کاربر یک برنامه معتبر نصب شده بر روی دستگاه را اجرا میکند با صفحهای روبرو میشود که توسط کد برنامه مخرب ایجاد شده است. همانطور که در تصویر زیر نمایش داده شده است انتخاب آیکون یک برنامه مجاز منجر به اجرای کد توسط یک برنامه مخرب میشود. کدی که میتواند از کاربر تقاضای دسترسی خاصی را کند یا با نمایش صفحهای فیشینگ اطلاعات احرازهویت او را سرقت کند.
از آنجا که این اقدامات پس از اجرای برنامه مورد اعتماد کاربر صورت میپذیرند، کاربر اینطور تلقی میکند که افزایش سطح دسترسی از سوی برنامه مجاز درخواست شده و یا صفحه جعلی ورود نام کاربری و گذرواژه (فیشینگ) نشأت گرفته شده از سوی برنامهای است که اندکی قبل بر روی نشان آن کلیک کرده بود این نحوه نمایش درخواستهای دروغین و صفحات جعلی آن قدر برای کاربران باورپذیر است که محققان Promon شناسایی حملات مبتنی بر StrandHogg را تقریباً غیرممکن توصیف کردهاند.
علاوهبر آن، با بهرهجویی از StrandHogg مهاجم قادر به اجرای امور زیر خواهدبود:
• شنود صدای کاربر با استفاده از میکروفون
• تصویربرداری از طریق دوربین
• خواندن و ارسال پیامک
• برقراری ارتباط تلفنی و/یا ضبط مکالمات
• دسترسی به تصاویر و فایلهای شخصی
• استخراج موقعیت و اطلاعات GPS
• دسترسی به فهرست تماسها
• دسترسی به سوابق تلفن
نگرانکنندهتر اینکه StrandHogg بدون نیاز به سطح دسترسی root بر تمامی نسخ اندروید حتی آخرین نسخه آن (۱۰) قابل بهرهجویی است.
در جریان بررسیهای صورت گرفته توسط این محققان، ۵۰۰ برنامه متداول اندروید قابل دسترس بر رویPlay Store نیز مورد تحلیل قرار گرفته که بر اساس نتایج حاصل شده پروسههای متعلق به تمامی آنها قابل ربوده شدن توسط حملات مبتنی بر StrandHogg است.
Promon در تابستان امسال گروه توسعهدهنده اندروید را در جریان وجود این آسیبپذیری قرار داده بود. اما از آنجا که در مهلت عرفاً ۹۰ روزه، این گروه نسبت به ترمیم آن اقدام نکرد، وجود آسیبپذیری توسط Promon بهصورت عمومی اطلاعرسانی شدهاست.
در سال ۲۰۱۵ نیز، تیمی از دانشگاه پنسیلوانیا تحقیق مشابهی را منتشر کرد که در آن بهصورت نظری به حملهای برای ربودن فرامین با هدف جعل کردن (Spoof) رابط کاربری، از کاراندازی سرویس (Denial-of-Service) یا رصد فعالیتهای کاربر پرداخته شدهبود.
Promon، آسیبپذیری StrandHogg را نسخهای گستردهتر از آنچه که محققان دانشگاه پنسیلوانیا در چهار سال پیش به آن اشاره کردهبودند، میداند.
StrandHogg کلمهای برگرفته شده از زبان قدیمی ساکنان اسکاندیناوی است که به یکی از تاکتیکهای وایکینگها در حمله به مناطق ساحلی و غارت و به اسارت گرفتن مردم برای باجگیری اشاره دارد.