พบช่องโหว่กระทบ Android ทุกเวอร์ชัน ‘StrandHogg’ ถูกใช้โจมตีจริงแล้ว

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสัญชาติสวีเดนหรือ Promon ได้ออกมาเตือนถึงช่องโหว่ที่ชื่อ ‘StrandHogg’ โดยสามารถนำไปสู่การ Hijack แอปพลิเคชันปกติได้ รวมถึงยังพบการใช้โจมตีจริงแล้วด้วย

Credit : Promon, Permission Request
Credit : Promon, Phishing

Promon ได้รับแจ้งจากลูกค้าหลายรายในกลุ่ม Financial ว่ามี End User เงินหายจึงประสานความร่วมมือกับ Lookout บริษัทผู้เชี่ยวชาญอีกแห่งจากสหรัฐฯ เพื่อตามรอยจนพบช่องโหว่ที่ชื่อ StrandHogg และมีแอปบน Play Store กว่า 36 แอปถูกคนร้ายโจมตี (ไม่มีการเผยชื่อแอป)

ไอเดียคือช่องโหว่อยู่ในส่วนของ OS ที่ใช้จัดการ Multitasking (กลไกการสลับโปรเซสเระหว่างกันเข้าออก) โดยบั๊กทำให้แอปอันตรายสามารถใช้งานช่องโหว่ได้เมื่อเหยื่อใช้แอปปกติผ่านฟีเจอร์ที่ชื่อ Task reparenting ทั้งนี้จากรูปด้านบนเมื่อเหยื่อเปิดแอปปกติจะมีการร้องขอสิทธิ์ซึ่งกลายเป็นการให้สิทธิ์แก่คนร้ายแทนที่จะเข้าสู่แอปนั้น นอกจากนี้ยังสามารถใช้แสดงหน้า Phishing Page ได้ด้วย ซึ่งจะเห็นได้ว่ากระบวนการโจมตีนั้นจับสังเกตได้ยากมากทีเดียว

ผู้เชี่ยวชาญยังเผยว่าคนร้ายไม่จำเป็นต้องมีสิทธิ์ระดับ Root และกระทบกับ Android OS เวอร์ชัน รวมถึงเวอร์ชัน 10 ด้วย นอกจากนี้ยังได้ทดสอบกับแอปยอดนิยม 500 อันดับแรกบน Play Store และพบว่าสามารถถูก Hijack ได้ทั้งหมด โดยทีมนักวิจัยเคยแจ้งช่องโหว่แก่ Android Project แล้วแต่ก็ไม่ได้รับการแก้ไขจนกระทั่งครบ 90 วันแล้วจึงออกมาเปิดเผย สำหรับผู้สนใจสามารถติดตามเพิ่มเติมได้จากเว็บไซต์ของนักวิจัยที่นี่

ที่มา :  https://www.zdnet.com/article/android-new-strandhogg-vulnerability-is-being-exploited-in-the-wild/

from:https://www.techtalkthai.com/strandhogg-vulnerbility-effect-all-android-versions/