挪威安全公司 Promon 的安全研究人員在 Android 設(shè)備中發(fā)現(xiàn)了一個(gè)漏洞,該漏洞可能使黑客通過(guò)誘騙用戶在非法應(yīng)用程序中鍵入密碼來(lái)竊取用戶數(shù)據(jù),會(huì)影響所有運(yùn)行 Android 9.0 及更低版本的設(shè)備。
Strandhogg 2.0 的工作原理是誘騙受害者以為他們?cè)诤戏☉?yīng)用程序上輸入密碼,而不是與惡意覆蓋程序進(jìn)行交互。Strandhogg 2.0 還可以劫持其他應(yīng)用程序權(quán)限,以竊取敏感的用戶數(shù)據(jù)(如聯(lián)系人、照片)并跟蹤受害者的實(shí)時(shí)位置。Promon 的創(chuàng)始人對(duì) Techcrunch 表示,Strandhogg 2.0 比其前身更具惡意性,因?yàn)樗?ldquo;幾乎無(wú)法被發(fā)現(xiàn)”。
不過(guò),Promon 方面表示,這一漏洞目前尚未被廣泛利用,它已經(jīng)向 Google 通報(bào)了 CVE-2020-0096 安全漏洞,并將其標(biāo)記為“嚴(yán)重”。
Strandhogg 2.0 漏洞利用了 Android 的多任務(wù)處理功能,該功能允許用戶在不同的應(yīng)用程序之間切換而無(wú)需關(guān)閉它們。用戶則必須下載可利用 Strandhogg 2.0 漏洞的惡意應(yīng)用程序( 偽裝成普通應(yīng)用程序 )才會(huì)受到此漏洞影響。
當(dāng)用戶在手機(jī)上打開合法應(yīng)用程序時(shí),惡意應(yīng)用程序會(huì)冒充它并創(chuàng)建一個(gè)偽造的登錄窗口,以竊取用戶密碼。在偽造的疊加層鍵入的憑據(jù)將被發(fā)送到黑客的服務(wù)器。
受 Strandhogg 2.0 錯(cuò)誤影響的應(yīng)用不需要任何特殊權(quán)限即可顯示在其他應(yīng)用上。它可以劫持其他應(yīng)用程序的權(quán)限,使其成為致命的漏洞,可以用來(lái)竊取數(shù)據(jù),包括照片、視頻、文檔和其他敏感信息。如果惡意應(yīng)用設(shè)法獲得所需的權(quán)限,它也可能從用戶的設(shè)備中竊取短信,包括兩步驗(yàn)證碼。
研究人員尚未發(fā)現(xiàn)任何黑客利用該漏洞的證據(jù),但與此同時(shí),他們表示,由于該漏洞的隱晦性,沒有“好的方法”來(lái)檢測(cè)攻擊。
目前,Google 已經(jīng)在最新的 Android 安全更新中發(fā)布了該漏洞的補(bǔ)丁程序,建議用戶盡快更新其 Android 設(shè)備。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
近日,德國(guó)柏林國(guó)際電子消費(fèi)品展覽會(huì)(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計(jì)及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)成功斬獲兩項(xiàng)“IFA全球產(chǎn)品設(shè)計(jì)創(chuàng)新大獎(jiǎng)”金獎(jiǎng),有力證明了其在全球市場(chǎng)的強(qiáng)大影響力。
近日,中國(guó)家電及消費(fèi)電子博覽會(huì)(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無(wú)人區(qū),斬獲四項(xiàng)AWE 2024艾普蘭大獎(jiǎng)。
“以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
由世界人工智能大會(huì)組委會(huì)、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會(huì)共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會(huì)聯(lián)合上海人工智能實(shí)驗(yàn)室、上海臨港經(jīng)濟(jì)發(fā)展(集團(tuán))有限公司、開放原子開源基金會(huì)主辦的“2024全球開發(fā)者先鋒大會(huì)”,將于2024年3月23日至24日舉辦。