小心Android漏洞讓駭客盜錄你的手機螢幕

小心Android漏洞讓駭客盜錄你的手機螢幕 研究人員發現在Android 5.0之後的MediaProjection存在漏洞,app開發商不需根權限或系統金鑰簽章就能蒐集用戶手機螢幕畫面,目前僅有Android 8.0修補漏洞,將近8成的Android用戶曝露於個人隱私外洩的風險。 文/林妍溱 | 2017-11-20發表 示意圖,與新聞事件無關。 安全研究公司發現Android媒體播放功能有漏洞, 可能讓用戶手機螢幕被外人盜錄而不自知。 這項漏洞出現在Android 5.0後加入Android Framework的MediaProjection服務之中。 首先發現漏洞的安全公司MWR InfoSecurity指出,在Android 5.0版之前,app需要具備根權限或是以系統金鑰簽章, 才能利用錄製螢幕上播放的影像,但5.0之後的MediaProjection則讓Android app開發商在無需上述條件下,就能蒐集用戶的螢幕內容, 或錄下系統聲音。此外,使用MediaProjection服務在AndroidManifest.xml上也無需宣告。 要使用MediaProjection服務時,app只需透過Intent呼叫存取這項系統服務,而要存取該服務,則只要以一個 SystemUI提示訊息,警告使用者呼叫該app可能錄製使用者螢幕畫面功能即可。因此,攻擊者只要在這則SystemUI警告訊息之上覆蓋任意訊息,就能誘騙使用者按下「OK」 而同意錄製。 由於Android中並沒有針對使用該API專用的核准, 因此無法判斷app是否使用了MediaProjection服務。要是攻擊者的app能偵測SystemUI 提示訊息,然後上面覆蓋一則掩人耳目的訊息, 威脅就更大了。 目前只有Android 8.0已修補該漏洞, 因此最有效的解決之道是用戶儘速升級到最新版。然而Android陣營向來升級腳步緩慢,因此可以想見大量Android裝置正曝露於風險中。Google統計,安裝最新版Android作業系統的裝置僅佔0.3%,而安裝Android 5.0到7.1的比例高達78.7%。 除了用戶方面升級外,研究人員也建議,app開發商可以在WindowsManager中啟動FLAG_SECURE參數, 可確保app視窗內容不得被螢幕擷圖,或是在不安全環境下顯示。 iThome Security

更多訊息更多資料都在這裡喔!~PPLS~蚯蚓粉~蜂王乳~保健食品~葉黃素~蜂王漿~膠股力~血栓溶解酵素~芙婷寶~力雪達~健康食品~智勝王~膠骨力~超視王~地龍粉~南極冰洋磷蝦油~蝦紅素~磷蝦油~青春元素~蝦青素~地龍酵素

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *