StopCovid is affected by StrandHogg and StrandHogg 2.0
The following bug report has been received through the YesWeHack private bugbounty phase.
Acknowledgements: Baptiste Robert
Procmon a rendu public il y a quelques jours, une version améliorée de StrandHogg (CVE-2020-0096). Comme expliqué sur leur site, https://promon.co/strandhogg-2-0/, cette faille permet à l’attaquant d’hijacker n’importe quelle app pour profiter de ses permissions. Cette faille n’affecte pas les utilisateurs d’Android 10 et Google a patché la vulnérabilité pour Android 9, 8.1 et 8. Toutefois, 39,2% des utilisateurs avec des versions vulnérables sont à risque.
Les dangers de cette faille pour une app de contact tracing sont illustré dans le dessin suivant disponible sur le site de Procmon Comme recommandé dans leur rapport, afin de mitiger les risques il est recommandé pour les activités public et spécialement pour l’activité launcher de rajouter launchMode=“SingleTask” ou launchMode=“SingleInstance” pour chacune dans le AndroidManifest.xml
StopCovid est également vulnérable à la première version StrandHogg: https://promon.co/security-news/strandhogg/. Afin de mitiger les risques il convient de mettre taskAffinity=“” pour chacune des activités publiques de l’app.
PoC Un POC est disponible pour StrandHogg: https://github.com/lucasnlm/strandhogg