现在是晚上10:00。你知道你的活动在哪里吗?有一个新漏洞可以在数百万个Android设备上利用，这也是一个非常讨厌的漏洞。简而言之，此设计缺陷使攻击者可以在另一个应用程序的顶部显示其自己的活动(页面)，从而有可能使用户迷失自己的私人数据。该漏洞被称为StrandHogg 2.0，最近由挪威安全公司Promon披露。

理论上，StrandHogg 2.0漏洞会影响所有运行Android版本(从Honeycomb(3.0)到Android 9 Pie(9.0))的所有Android设备。根据最新的Android版本分布统计数据，这意味着大约91.8%的所有Android设备都容易受到StrandHogg 2.0的攻击。该漏洞被分配为CVE-2020-0096，严重等级为“严重”。它不需要任何特殊权限即可工作，并且几乎不需要用户交互即可完全正常运行。用户要做的就是打开一个隐藏了恶意代码的应用程序，然后他们很容易受到利用。

Promon非常友好地向我们发送了他们的概念验证应用及其源代码，因此我们可以最好地解释该漏洞利用的工作原理，它对用户的重要性以及开发人员如何保护其应用免受攻击。

怎么运行的

假设您使用的是Gmail，然后单击网络链接。如果转到最近使用的应用程序屏幕，您可能会注意到该网页似乎在Gmail内部。预览显示了网站，但应用程序图标和名称仍来自Gmail。当一个应用程序/活动在同一任务中启动另一个应用程序/活动时，就会发生这种情况。现在，假设您没有故意打开该链接。对您来说，它似乎只是Gmail应用程序的一部分。这就是StrandHogg 2.0所利用的行为。

我们将不得不在这里省略一些细节，但是这里大致是这种利用方式的工作原理。对于以下情况，我们假设攻击者想要获取用户的Gmail登录信息。

用户下载一个恶意应用程序(当然，在不知道它是恶意的情况下)并打开它。

该应用程序在后台打开Gmail，在其顶部放置一个类似的登录活动，然后启动另一个活动。

用户打开Gmail，然后看到类似于Gmail的登录屏幕，但实际上是攻击者的网络钓鱼活动。

在第2步中启动的最终活动可以是避免怀疑的任何事情。该应用可以伪造崩溃并返回主屏幕，或者可以打开其主要活动，好像什么也没发生。在所有“活动”启动时，用户可能看到的唯一可疑的事情是一堆打开的动画。最糟糕的部分：它甚至看起来都没有打开Gmail。