安卓系统潜藏 StrandHogg 漏洞 资安业者：可让骇客窃取加密钱包资讯

挪威资安研究业者 Promon 日前表示， 已发现一个名为“StrandHogg”的漏洞，恐让网络犯罪者可在任何安卓系统（Android）手机上取得私人资料与数据。据称，漏洞现已感染所有的 Android 版本，而且让前 500 大最受欢迎的应用程序（App）陷入风险。

Promon 的技术长 Tom Lysemose Hansen 表示：“我们有明确的证据显示，攻击人士正在利用 StrandHogg，目的是窃取机密资讯。就损害规模而言，这件事的影响程度将会是空前广泛的，因为多数的 App 在预设的情况下，最容易受到漏洞攻击，而且，所有的 Android 版本都已被影响。”

 

StrandHogg 如何运作 ?

业者表示，StrandHogg 在受感染的手机上会伪装成其他的合法 App，再透过展示“假冒版本的登入画面”来骗取用户的帐密资料。这份报告指出，

当受害者在这个界面输入账密资料的当下，其实这些资讯细节就会立即发送给攻击者，接着他们就能够登入，并控制这类对安全度即敏感的 App。

除了窃取加密钱包登入账密资料等个人资讯外，StrandHogg 还可透过装置的麦克风来窃听用户、读取并发送文字简讯，并且取得装置里的所有私人照片与档案，或者进行其他恶意探索。

Promon 研究人员进一步指出，他们已于去年夏天向 Google 通报发现结果。然而，尽管 Google 确实删除了受影响的 App，但显然并未对任何 Android  版本的漏洞进行修复。

区块客致力于发掘和整理各种与区块链技术有关的内容，只要与区块链或区块客网站有关的合作和／或建议，我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。