Strandhogg漏洞的风险上的顶级Android应用程序
UKTECH50 2019年获胜者:Demismind,联合创始人和首席执行官Demis Hassabis
CityFibre任命首席送货员
从网球专业人员协会的所有角度服务技术
政府分配200万英镑,以支持律师的增长
英国组织加入量子通讯飞行员
Lloyd的伦敦为数字转型确保了300万英镑
补丁星期二带来了自动驾驶仪的崩溃,现在quashed,另一个win7 nag
英国卫星数据与矛头对抗气候变化
食物大战:Slack和Microsoft Trade Barbs,Collaboration App Battle中的Sling Stats
补丁星期二警报!通过暂停更新保护您的机器
Microsoft的六月补丁中的大多数错误都已固定;继续补丁
数据驱动的运输和物流转型
三分之二英国金融服务公司正在使用机器学习
网络攻击者利用较差的云安全
拿到:它实际上要在Chrome OS上使用Windows应用程序
谷歌在Chrome里面羞辱慢网站
Windows按数字:Windows 10在过去的70%上滚动
在2021年,更改谷歌趋势的游戏
国家铁路查询受到移动应用程序和网站上的高峰时间实时信息中断的影响
买家认为SD-WAN太昂贵,复杂了
学习表演的人为错误对Cyber​​安全的巨大风险
Kinetica开启墨尔本办公室,看涨数据分析
蓝色棱镜给北斗个人触摸
Microsoft遵循Google和Chrome,将边缘转移到四周发行速度
Microsoft命名下一个Windows 10升级:'2004'
工作部门和养老金索赔付款进度
Slack将视频和语音呼叫移动到AWS
托管提供者的政府未能提供排放数据
这是Win10版本2004卷展览的颠簸道路
Microsoft提供块横跨静默下载到Windows 10 PC的工具
尽管女性的起始工资更高,但男性编码薪水超越了女性收入
Facebook的Libra Co-Creator:社会,财务数据将保持分开
ASX合作伙伴VMware和DA Digital Ledger Tech
Apple提供麦斯卡洛丽娜
厄瓜多尔公民的数据泄露为企业提供课程
2020年的像素购买拼图
凭借Parallels,Apple继续制作卓越的Windows PC
你能相信笔测试人吗?
Telenor与数字化的挪威教育提供者合作
汇丰银行计划将20亿美元的资产转移到区块链可能是一个流域时刻
Cisos转向AI,检测,响应和教育
APAC在AI系统上支出2019年达到62亿美元
百万美元的Android-Chrome-OS问题
英国政府提出了1.3亿英镑的计划,以改善农村移动覆盖
Amadeus打开系统以启动创新驱动的生态系统
关于Microsoft的第一个Android手机的9个关键问题
Galaxy现实检查:避开三星的Android手机的4个大件
全球宽带市场看到纤维推动
政府调查了与AI的文化收藏
您的位置:首页 >电子新闻 >

Strandhogg漏洞的风险上的顶级Android应用程序

2021-09-07 19:44:04 [来源]:

新发现的Android漏洞允许恶意软件作为合法的应用程序构成,使网络犯罪分子能够访问短信,照片,登录凭据和位置信息,以及给予他们制作和录制电话对话的能力并激活根据宣传威胁的威胁研究人员的说法,设备的相机和麦克风

被称为北京掠夺战术的旧北北梦话,在野外的专业金融服务安全公司在野外发现漏洞的漏洞报告了捷克的几家银行客户损失了它。

在检查疑似恶意软件的样本时,它能够识别使其从银行账户中窃取的漏洞。另一个合作伙伴业务的进一步研究了,了解,确认至少有36个其他恶意应用程序利用漏洞,其中包括广泛钞票特洛伊木马的变种。

“我们已经看到了攻击者利用斯特兰德霍夫的货币收益,”宣传国首席技术官(CTO)汤姆·莱尼索汉森说。

“如果留下未解决的话,这对潜在的影响可能在规模和造成的损坏量方面是前所未有的,因为大多数应用程序默认易受攻击,并且所有Android版本都受到影响。”

Strandhogg影响了Google的移动操作系统的所有版本,包括Android 10,最近的发布以及植根和rootoed设备。

它利用Android的多任务系统中的漏洞,该系统允许恶意应用程序以目标设备上存在的任何其他应用程序多虚拟化。Exproit基于TaskAftinity Android控制设置,允许任何应用程序在其所需的多任务系统中占用的任何身份。

这意味着恶意应用程序可以在假装成为合法应用程序的同时询问各种权限。它通过询问不同针对性应用程序的权限来询问自然的权限,因此可以降低用户的防御。

它还可以欺骗设备,以便单击合法应用程序的应用程序图标时,更换恶意版本,窃取登录凭据和其他敏感信息。

突发报告说,四年前在美国宾州州立大学的研究大大扩展了它的研究,从理论上识别了脆弱性的许多方面。但是,它声称谷歌当时已经挥手了这一点,它使Strandhogg能够在实践中开发和开发。

谷歌发言人表示,它现在已经搬到了网络罪犯利用Strandhogg的能力:“我们感谢研究人员的工作,并暂停了他们确定的潜在有害的应用程序。他们说,谷歌游戏保护检测和阻止恶意应用程序,包括使用这种技术的应用程序。

“另外,我们继续调查,以改善谷歌游动保护保护用户免受类似问题的能力。”

邮务指出,它测试的特定样本尚未从Google Play本身下载,而是通过在Android商店分发的Dropper应用程序安装 - 谷歌现在已暂停的应用程序。

它补充说,即便如此,恶意应用程序继续发布,并且仍然能够在雷达下滑动,因此建议谨慎。

Opespan高级产品营销经理Sam Bakken说:“正如您想象的那样,犯罪分子在被盗移动银行凭据中持续货币化潜力,并访问通过SMS发送的一次性密码.PROMON最近的发现使得脆弱性成为其迄今为止的漏洞。

“由于四年来,消费者和App开发人员相似地暴露于各种类型的欺诈。此外,现在已经确定了至少36个攻击漏洞的恶意软件示例,因为已经识别到2017年。他说,这将向您展示攻击者意识到漏洞,并积极利用它来窃取银行资金和金钱,“他说。

Bakken指出了许多步骤,即在应用程序设计过程中可以采取的步骤,以确保开发人员能够在设计阶段将安全性建立在他们的产品中。

这些包括提供安全的代码教育;制作定期安全测试应用程序的静态和动态分析工作流程项目;仅使用具有强大身份验证的可信软件开发套件(SDK),可确保数据在休息和运输中受到保护;并使用更先进的技术,如应用屏蔽和运行时保护,为野外应用提供额外的应用。

“各种移动应用程序安全技术在应用内保护的保护伞下,包括应用屏蔽和运行时保护,使应用程序开发人员更容易减轻由Android和iOS中的安全问题产生的这些曝光窗口,”Bakken说。“Gartner预测,到2022年,可以使用应用内保护可以防止至少50%的ClickJacking和移动应用程序的成功攻击。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。