安卓系統潛藏 StrandHogg 漏洞！資安業者：可讓駭客竊取加密錢包資訊

挪威資安研究業者 Promon 日前表示， 已發現一個名為「StrandHogg」的漏洞，恐讓網絡犯罪者可在任何安卓系統（Android）手機上取得私人資料與數據。據稱，漏洞現已感染所有的 Android 版本，而且讓前 500 大最受歡迎的應用程式（App）陷入風險。

Promon 的技術長 Tom Lysemose Hansen 表示：「我們有明確的證據顯示，攻擊人士正在利用 StrandHogg，目的是竊取機密資訊。就損害規模而言，這件事的影響程度將會是空前廣泛的，因為多數的 App 在預設的情況下，最容易受到漏洞攻擊，而且，所有的 Android 版本都已被影響。」

StrandHogg 如何運作 ?

業者表示，StrandHogg 在受感染的手機上會偽裝成其他的合法 App，再透過展示「假冒版本的登入畫面」來騙取用戶的帳密資料。這份報告指出，

當受害者在這個介面輸入帳密資料的當下，其實這些資訊細節就會立即發送給攻擊者，接著他們就能夠登入，並控制這類對安全度即敏感的 App。

除了竊取加密錢包登入帳密資料等個人資訊外，StrandHogg 還可透過裝置的麥克風來竊聽用戶、讀取並發送文字簡訊，並且取得裝置裡的所有私人照片與檔案，或者進行其他惡意探索。

Promon 研究人員進一步指出，他們已於去年夏天向 Google 通報發現結果。然而，儘管 Google 確實刪除了受影響的 App，但顯然並未對任何 Android  版本的漏洞進行修復。

熱門市場動態與新聞傳送門：