悪意あるアプリがほぼすべてのアプリを乗っ取れるAndroidの脆弱性「StrandHogg 2.0」

2019年に発見されたAndroidの脆弱性で、悪意あるアプリが写真撮影やSMSの読み取り＆送信、電話録音、ログイン情報の抜き取りなどを行えるようになる「StrandHogg」と類似し、さらに危険性が高いという脆弱性「StrandHogg 2.0」が、ノルウェーのセキュリティ会社・Promonの研究者によって発見されました。GoogleはStrandHogg 2.0の最大深刻度を「緊急」と評価し、2020年5月にパッチを配布済みです。

StrandHogg 2.0 - The ‘evil twin’
http://promon.co/strandhogg-2-0/

「StrandHogg 2.0」を用いてどのようなことができるのかというコンセプトを示したムービーが、Promonによって公開されています。

StrandHogg 2.0 - The ‘evil twin’ - Proof of Concept video - YouTube


Promonが用意したのは、StrandHogg 2.0を用いて攻撃を行うアプリと、その対象となる5つのアプリ。

攻撃アプリは何の権限も持っていない状態です。

一方、5つのアプリはGoogle Playからダウンロードしてきて、何の手も加えていないもの。攻撃アプリからは何の権限も求められておらず、許可もしていない状態です。

攻撃アプリはほぼすべてのアプリを同時に乗っ取ることができます。

攻撃アプリを起動。

こうなると、Facebookアプリを起動しても……

乗っ取られてしまいます。

「StrandHogg 2.0」は、2019年に見つかった脆弱性「StrandHogg」と類似した特徴のある脆弱性ですが、「StrandHogg」が1度に1つのアプリしか攻撃できなかったのに対して、同時に複数アプリを攻撃します。

類似するとはいえ、「StrandHogg」への対応策は「StrandHogg 2.0」にはほとんど通用しないとのこと。

なお、Android 10には影響はありません。また、Promonは2019年12月時点でGoogleに脆弱性を通知し、Googleはこの脆弱性を最大深刻度「緊急」として識別子「CVE-2020-0096」を付与。2020年5月にAndroid 8.0・8.1・9向けにパッチを公開しています。