W chip.pl opis jest dosyć słaby, ale to polskie forum, więc chciałem dać coś po polsku. Nie wiem czy to bardziej luka w implementacji czy zła decyzja została podjęta na poziomie architektury, ale ewidentnie jest to coś do poprawienia przez Google.
Na ArsTechnica wyjaśniają to tak (link podałem już wcześniej):
a TrendMicro tak:
Teraz znalazłem taki temat na Twitterze:
Ale jeszcze nie przeczytałem artykułu z konferencji.
(10.12.2019, 12:38)wredniak napisał(a):Nie podmienia skrótu do siebie samego. W systemie jest dodawany task, który pochodzi ze złośliwej aplikacji, ale jest uruchamiany w kontekście aplikacji, w którą celowany jest atak. Możesz kliknąć w launcherze na prawdziwą, autentyczną ikonkę zaufanej aplikacji, a i tak pojawi się ekran ze złośliwej aplikacji.[Aby zobaczyć linki, zarejestruj się tutaj]
Program wykrywa, że klient ma aplikację bankową i jak rozumiem podmienia skrót z pulpitu do siebie samego, tak, że gdy klient będzie chciał odpalić apkę bankową to otworzy się trojan i wyświetli podmienioną stronę bankową, co ewentualnie pozwoli na ukradzenie danych logowania czy pieniędzy.
Na ArsTechnica wyjaśniają to tak (link podałem już wcześniej):
Cytat:An affinity for multitasking
The vulnerability is found in a function known as TaskAffinity, a multitasking feature that allows apps to assume the identity of other apps or tasks running in the multitasking environment. Malicious apps can exploit this functionality by setting the TaskAffinity for one or more of its activities to match a package name of a trusted third-party app. By either combining the spoofed activity with an additional allowTaskReparenting activity or launching the malicious activity with an Intent.FLAG_ACTIVITY_NEW_TASK, the malicious apps will be placed inside and on top of the targeted task.
a TrendMicro tak:
Cytat:Explaining the StrandHogg exploit
StrandHogg exists in how Android devices handle multiple tasks, specifically in the feature called[Aby zobaczyć linki, zarejestruj się tutaj]
. This feature has to do with how an Android device’s activity can move from the task that started it to a task that it has an affinity for. For example, task reparenting is at work when a user clicks on a link on a messenger app that opens a browser still connected to the original app that started it.
A malicious app could exploit this feature by replacing one of the target tasks an app has an affinity for with its own task. It clears out the target task and replaces it with a new task that is under the cybercriminal’s control. Thus, the hijacked task would be displayed on the screen when the user launches the affected (legitimate) app.
This hijacked task could be anything, such as tasks that ask users for various permissions (eg. access to photos and files, contact list, etc.) that a user could unknowingly grant for the malicious app. Using this vulnerability, a cybercriminal could also lace a phishing scheme deep into the natural flow of a legitimate app.
[Aby zobaczyć linki, zarejestruj się tutaj]
Teraz znalazłem taki temat na Twitterze:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Ale jeszcze nie przeczytałem artykułu z konferencji.