آسیب‌پذیری StrandHogg، همه کاربران اندروید را تهدید می‌کند

آی‌تی‌من- به گزارش مرکز افتا، بر طبق گزارش منتشر شده از سوی شرکت Promon، از طریق آسیب‌پذیری  موسوم به StrandHogg، حتی کاربران با دانش فنی بالا نیز ممکن است ناخواسته اقدام به اعطای دسترسی‌های حیاتی به یک برنامه مخرب یا ورود اطلاعات احرازهویت در صفحات ثبت ورود (Login) جعلی کنند.

Promon اعلام کرده که آسیب‌پذیری StrandHogg مورد سواستفاده برخی از مهاجمین سایبری قرار گرفته است.

با مشارکت Promon و Lookout (شرکتی فعال در حوزه امنیت برنامه‌های دستگاه‌های همراه)، ۳۶ برنامه حاوی اکسپلویت StrandHogg شناسایی شده است. در گزارش Promon بدون ذکر عناوین این برنامه‌ها، به عدم به اشتراک‌گذاری آن‌ها بر روی بازار رسمی گوگل Play Store  اشاره شده است. به نظر می‌رسد که برنامه‌های مذکور در مرحله دوم آلودگی و توسط برنامه‌های مخرب دیگری که از طریق فروشگاه گوگل پلی در دسترس  قرار دارند، روی دستگاه کاربران دریافت می‌شده‌اند.

StrandHogg باگی است که از راهبری نادرست بخش چندکارگی (Multitasking) در سیستم عامل اندروید که وظیفه تعویض آن دسته از فرامین و پروسه‌هایی را که عملیات یا برنامه‌های متفاوتی را مدیریت می‌کنند برعهده دارد ناشی می‌شود. به بیان ساده چندکارگی، مکانیزمی است که سیستم عامل اندروید را قادر به اجرای همزمان چندین پروسه و جایگزین کردن آن‌ها به‌محض ورود و خروج هر برنامه از دید کاربر (صفحه نمایش دستگاه) می‌کند.

یک برنامه مخرب نصب شده بر روی یک گوشی هوشمند اندرویدی می‌تواند با سواستفاده از StrandHogg اقدام به اجرای کد مخرب در زمان اجرای یک برنامه دیگر از طریق قابلیتی با عنوان Task Reparenting کند.

با این روش در زمانی که کاربر یک برنامه معتبر نصب شده بر روی دستگاه را اجرا می‌کند، با صفحه‌ای روبرو می‌شود که توسط کد برنامه مخرب ایجاد شده است. همانطور که در تصویر زیر نمایش داده شده است انتخاب آیکون یک برنامه مجاز منجر به اجرای کد توسط یک برنامه مخرب می‌شود. کدی که می‌تواند از کاربر تقاضای دسترسی خاصی را کند یا با نمایش صفحه‌ای فیشینگ اطلاعات احرازهویت او را سرقت کند.
 




از آنجا که این اقدامات پس از اجرای برنامه مورد اعتماد کاربر صورت می‌پذیرند، کاربر این‌طور تلقی می‌کند که افزایش سطح دسترسی از سوی یک برنامه مجاز درخواست شده و یا صفحه جعلی ورود نام کاربری و گذرواژه (فیشینگ) نشأت گرفته از برنامه‌ای است که کاربر، خودش فراخوانی و اجرا کرده است. این نحوه نمایش درخواست‌های دروغین و صفحات جعلی آن قدر برای کاربر باورپذیر است که محققان Promon شناسایی حملات مبتنی بر StrandHogg را تقریباً غیرممکن توصیف کرده‌اند.

علاوه بر آن، با بهره‌جویی از StrandHogg مهاجم قادر به اجرای امور زیر خواهد بود:
•    شنود صدای کاربر با استفاده از میکروفون
•    تصویربرداری از طریق دوربین
•    خواندن و ارسال پیامک
•    برقراری ارتباط تلفنی و/یا ضبط مکالمات
•    دسترسی به تصاویر و فایل‌های شخصی
•    استخراج موقعیت و اطلاعات GPS
•    دسترسی به فهرست تماس‌ها
•    دسترسی به سوابق تلفن

نگران‌کننده‌تر اینکه StrandHogg بدون نیاز به سطح دسترسی root، تهدیدی جدی برای همه‌ی نسخه‌های سیستم عامل اندروید حتی جدیدترین ویرایش آن یعنی اندروید ۱۰ است.

در جریان بررسی‌های صورت گرفته توسط این محققان، ۵۰۰ برنامه متداول اندروید قابل دسترس بر روی Play Store نیز مورد تحلیل قرار گرفته که بر اساس نتایج حاصل شده پروسه‌های متعلق به تمامی آنها قابل ربوده شدن توسط حملات مبتنی بر StrandHogg است.

Promon در تابستان امسال گروه توسعه‌دهنده اندروید را در جریان وجود این آسیب‌پذیری قرار داده بود. اما از آنجا که در مهلت عرفاً ۹۰ روزه، این گروه نسبت به ترمیم آن اقدام نکرد، وجود آسیب‌پذیری توسط Promon به‌صورت عمومی اطلاع‌رسانی شده است.

در سال ۲۰۱۵ نیز، تیمی از دانشگاه پنسیلوانیا تحقیق مشابه‌ای را منتشر کرد که در آن به‌صورت نظری به حمله‌ای برای ربودن فرمان‌ها و دستورات با هدف جعل کردن (Spoof) رابط کاربری، از کاراندازی سرویس (Denial-of-Service) یا رصد فعالیت‌های کاربر پرداخته شده بود.

Promon، آسیب‌پذیری StrandHogg را نسخه‌ای گسترده‌تر از آنچه که محققان دانشگاه پنسیلوانیا در چهار سال پیش به آن اشاره کرده بودند، می‌داند.

StrandHogg کلمه‌ای برگرفته شده از زبان قدیمی ساکنان اسکاندیناوی است که به یکی از تاکتیک‌های وایکینگ‌ها در حمله به مناطق ساحلی و غارت و به اسارت گرفتن مردم برای باج‌گیری اشاره دارد.