悪意あるアプリがほぼすべてのアプリを乗っ取れるAndroidの脆弱性「StrandHogg 2.0」
2019年に発見されたAndroidの脆弱性で、悪意あるアプリが写真撮影やSMSの読み取り&送信、電話録音、ログイン情報の抜き取りなどを行えるようになる「StrandHogg」と類似し、さらに危険性が高いという脆弱性「StrandHogg 2.0」が、ノルウェーのセキュリティ会社・Promonの研究者によって発見されました。GoogleはStrandHogg 2.0の最大深刻度を「緊急」と評価し、2020年5月にパッチを配布済みです。
StrandHogg 2.0 - The ‘evil twin’
http://promon.co/strandhogg-2-0/
「StrandHogg 2.0」を用いてどのようなことができるのかというコンセプトを示したムービーが、Promonによって公開されています。
StrandHogg 2.0 - The ‘evil twin’ - Proof of Concept video - YouTube
Promonが用意したのは、StrandHogg 2.0を用いて攻撃を行うアプリと、その対象となる5つのアプリ。
攻撃アプリは何の権限も持っていない状態です。
一方、5つのアプリはGoogle Playからダウンロードしてきて、何の手も加えていないもの。攻撃アプリからは何の権限も求められておらず、許可もしていない状態です。
攻撃アプリはほぼすべてのアプリを同時に乗っ取ることができます。
攻撃アプリを起動。
こうなると、Facebookアプリを起動しても……
乗っ取られてしまいます。
「StrandHogg 2.0」は、2019年に見つかった脆弱性「StrandHogg」と類似した特徴のある脆弱性ですが、「StrandHogg」が1度に1つのアプリしか攻撃できなかったのに対して、同時に複数アプリを攻撃します。
類似するとはいえ、「StrandHogg」への対応策は「StrandHogg 2.0」にはほとんど通用しないとのこと。
なお、Android 10には影響はありません。また、Promonは2019年12月時点でGoogleに脆弱性を通知し、Googleはこの脆弱性を最大深刻度「緊急」として識別子「CVE-2020-0096」を付与。2020年5月にAndroid 8.0・8.1・9向けにパッチを公開しています。
・関連記事
「机や床を伝わる超音波」でスマホを勝手に操作可能な攻撃「SurfingAttack」が報告される - GIGAZINE
政府が無料配布するスマートフォンに中国製らしき悪質なアプリがプリインストールされていたと判明 - GIGAZINE
「Androidデバイスにプリインストールされるアプリは脆弱性になり得る」とGoogleに警告する公開書簡が発表される - GIGAZINE
Pixelやサムスン製のAndroidスマホから勝手に写真や通話音声を盗み出せる脆弱性が発見される - GIGAZINE
60万台以上ものGPSトラッカーの情報が「123456」というパスワードでオンライン上に公開されているとセキュリティ会社が警告 - GIGAZINE
・関連コンテンツ