StrandHogg 2.0 – Androidの重大な脆弱性により、銀行の認証情報、SMSメッセージなどが公開される可能性があります

StrandHogg 2.0 – Critical Android Vulnerability Could Expose Banking Credentials, SMS Messages & More

TechCrunchが報告しました今日に含まれる最も深刻な脆弱性の1つ 2020年5月のAndroidのセキュリティに関する公開情報 (CVE-2020-0096)攻撃者は、感染したAndroidデバイスにインストールされているほぼすべてのアプリによって処理または生成された機密データにアクセスする可能性があります。この脆弱性が実際に悪用される既知のケースはまだありませんが、ご想像のとおり、モバイル金融サービスのアプリとユーザーにリスクがあり、ルート化されていないデバイスとルート化されたデバイスの両方に影響を及ぼします。金融サービスアプリの開発者にとってこの脆弱性が何を意味するのか、そして彼らが金融機関やエンドユーザーのリスクを軽減するために何ができるのかを調べてみましょう。

StrandHogg 2.0とは何ですか?

Strandhogg 2.0
画像ソース: -ERR:REF-NOT-FOUND- https://promon.co/strandhogg-2-0/

セキュリティ会社Promonによって発見および開示されたStrandHogg 2.0の脆弱性を悪用するマルウェアは、同じAndroidデバイスにインストールされている他のアプリになりすますことができます。この脆弱性は 2019年末に発見された元のStrandHoggの脆弱性 。ただし、この脆弱性に対する攻撃を検出することは困難であり、複数のアプリを同時に攻撃するために使用できるため、より深刻であると考えられています。

銀行がStrandHogg 2.0に関連するリスクを考慮する必要があるのは、このためです。

  1. マルウェアは、正規のアプリケーションを装った権限をリクエストできます
  2. これらの権限が付与されている場合、悪意のあるアプリはSMSメッセージ、写真、GPSの位置、電話での会話などの個人情報にアクセスできます
  3. ユーザーがモバイルバンキング用の正当なアプリを起動すると、マルウェアはそのアプリの上に模擬ログイン画面を挿入して、ユーザーの資格情報を盗みます。

1。	マルウェアは、正規のアプリケーションを装った権限をリクエストできます
画像ソース:
https://promon.co/strandhogg-2-0/

たとえば、ユーザーがGoogle Playストアからこの脆弱性を悪用するマルウェアに感染したデバイスにCOVID-19公開通知/連絡先追跡アプリをダウンロードするとします。ユーザーがCOVID-19アプリを起動すると、マルウェアがそのセッションに自分自身を挿入し、GPSやメッセージングなどの権限を要求する可能性があります。ユーザーが実際にこれらの位置をマルウェアに付与した場合、ユーザーは、正当なアプリであると想定しているものにこれらの権限を付与することに抵抗がないと感じるかもしれません。

繰り返しになりますが、今日、この脆弱性を実際に悪用するマルウェアキャンペーンの既知の例はありません。しかし、それは変わる可能性があります。悪意のあるアプリが元のStrandHoggの脆弱性 2019年後半には、モバイルバンキングユーザーをターゲットにしています。StrandHogg 2.0の詳細が利用可能になったため、攻撃者は以前のキャンペーンを反復してその効果を高めることができます。

StrandHogg 2.0の影響:Android 10以外のすべてのAndroidバージョンの脆弱性

明らかな被害の可能性がある次の問題は、どの程度の人口がさらされているかということです。さいわい、Android 10は影響を受けません。残念ながら、Androidユーザーの10人に1人もAndroid 10にアップデートしていません。StandHogg 2.0は、Androidの他のすべてのバージョンに影響します(デバイスの91.8%)。

これは、影響を受けるバージョンのAndroid OS(過半数)を使用しているユーザーの割合を示す便利なチャートです。 Android Studioからのデータに基づく 2020年4月現在。

影響を受けるバージョンのAndroid OSを使用しているユーザーの割合

はい、Googleは2020年5月のAndroidのセキュリティに関する公開情報の一部として、Android 8、8.1、および9のパッチを発行しました。ただし、これらのパッチがAndroid 8、8.1、または9を実行しているすべてのモバイルデバイスに適用される保証はありません。それでも、Androidユーザーの40%がAndroid 7.1以前を実行しており、脆弱なままです。

OK、私は十分に驚いています– StrandHogg 2.0から保護するために私は何ができますか?

まず、Androidユーザーはデバイスを最新バージョンのAndroidに更新する必要があります。残念ながら、デバイスの製造元、およびユーザーのサービスプロバイダー/キャリアによっては、実行できない場合があります。これが、アプリ開発者、特にモバイル金融サービスアプリの開発者が注意する必要がある理由です。
モバイルアプリが動作するモバイルデバイスの正確なセキュリティステータスを確実に知る方法はありません。開発者は、ユーザーのデバイスが脆弱性に悩まされているのか、マルウェアに感染しているのかを知る実際の方法はありません。これが、次のような高度なサイバーセキュリティです。アプリのシールドまた、悪意のある状況でもアプリ(およびユーザー)を保護するためにアプリと一緒に移動するランタイム保護は、モバイルアプリのセキュリティへの完全な階層型アプローチに不可欠です。

Mobile Application Shielding(モバイル アプリケーション シールディング)
ホワイトペーパー

モバイルアプリのシールディング:不正を減らし、コストを節約して、収益を保護する方法とは

このポッドキャストを楽しんだ場合は、このホワイトペーパーをダウンロードしてください。ランタイム保護によるアプリのシールドが、安全で復元力のあるモバイルバンキングアプリを開発するための鍵となる方法をご覧ください。

今すぐダウンロード

サムは、OneSpanモバイルアプリのセキュリティポートフォリオを担当するシニアプロダクトマーケティングマネージャーであり、情報セキュリティの分野で10年近くの経験があります。