Android telefonlarda herhangi bir uygulamayı ele geçirip potansiyel olarak kullanıcıya ait SMS mesajları, farklı hesaplara ait giriş bilgileri, GPS kayıtları, özel fotoğraflar gibi bir çok bilgiye ulaşılmasını sağlayan kritik bir açık tespit edildi.
İlgili güvenlik açığını keşfeden Promon araştırmacıları tarafından bu açık “StrandHogg 2.0” (CVE-2020-0096) olarak adlandırıldı. Aralık 2019’da tespit edilen orijinal StrandHogg açığına olan benzerliği sebebiyle güvenlik açığı bu şekilde isimlendirildi.
“StrandHogg 2.0” güvenlik açığı son Android Q / 10 işletim sistemi versiyonu dışındaki bütün Android cihazlarını etkiliyor. Son işletim sistemi versiyonun sadece %15-20 civarında bir cihaza koştuğunu düşünürsek bu zafiyetin milyarca akıllı telefonu etkileme potansiyeli bulunuyor.
StrandHogg’un 1.0 versiyonu, Android’in çoklu görev özelliğini kullanarak bilinen geçerli market uygulamaların arayüzlerini maskeleme olarak kullanıp hesap bilgileri ile beraber cihaz üzerinde konum bilgisi, mikrofon, kamera vb. gibi özelliklere erişim haklarına sahip oluyor.
StrandHogg’un yeni versiyonu, orijinal versiyonunda olduğu gibi kullanıcıları uygulamaların gerçek arayüzü yerine sahte bir arayüze yönlendiriyor. Kullanıcı gerçek uygulamayı kullandığını zannederek uygulamalara ait hesap bilgilerini sahte arayüz üzerinden saldırganlara iletmiş oluyor. Ayrıca sahte uygulama arayüzleri üzerinden cihazla ilgili ekstra erişim hakları da elde edilebiliyor. Zafiyetin ilk versiyonu tek seferde tek bir uygulama üzerinde çalışabiliyor iken güncel versiyonda bütün uygulamalar üzerinde aynı anda çalışabiliyor. Bu durum ise ilgili açığı çok daha tehlikeli hale getiriyor.
StrandHogg açıklarını tehlikeli hale getiren özellikler aşağıdaki gibi sıralanabilir:
- Hedef kullanıcıların zafiyeti tespit edebilmesi neredeyse imkansız durumda.
- Özel bir konfigürasyona gerek duymadan telefonda bulunan herhangi bir uygulamanın arayüzünü sahte arayüz olarak kullanabiliyor.
- Uygulama arayüzleri üzerinden cihazla ilgili herhangi bir erişim izni istenebilir.
- Root hakkına gerek duyulmadan cihazları etkileyebiliyor.
- Q dışında bütün Android versiyonlarında çalışıyor.
- Cihazlarda çalışması için herhangi bir özel erişim iznine gerek duymuyor
Güvenlik araştırmacıların zafiyeti ilk olarak tespit edip raporladığı Aralık 2019 tarihinden sonra Google, Nisan 2020 tarihinde Android 9, 8.1 ve 8 versiyonları için bir yama yayımladı. Android’in daha eski versiyonlarına (Araştırmacılara göre mevcut cihazların %39,2’si) sahip olan kullanıcıların cihazları ise bu zafiyete karşı savunmasız durumda. Android 10 versiyonuna sahip kullanıcıların ise en yeni firmware güncellemesini yapması gerekiyor.
Bu bilgilere ilave olarak cihazlarında aşağıdaki durumlardan biriyle karşılaşan kullanıcıların ilgili açık tarafından etkilenmiş olma olasaılığı yüksek olabilir. Bu durumla karşılaşan kullanıcıların cihazlarını sıfırlaması öneriliyor.
- Önceden giriş yapılmış bir uygulamanın tekrar giriş bilgilerini sorması. (Facebook uygulamasının tekrar giriş bilgilerini sorması vb.)
- Uygulama ismi içermeyen pop up şeklinde izin isteyen arayüzler.
- Uygulamaların ilgisi olmayan izinler istemesi. (Todo list uygulamasının konum izni istemesi gibi)
- Kullanıcı tarafından tıklandığı zaman herhangi bir işlem yapmayan buton ve linkler.
- Çalışmayan “geri dön” butonları ve linkleri.