Android用戶要注意了,現在一(yī)個存在于MediaProjection功能服務中(zhōng)的新漏洞已被曝出。利用該漏洞,攻擊者可以記錄終端設備的聲音和屏幕活動。預估約有77.5%的Android設備受此漏洞影響。
Android曝出新漏洞 可記錄聲音和屏幕活動
MediaProjection是一(yī)個自從推出以來就存在于Android中(zhōng)的系統級服務,負責屏幕采集,但是爲了使用它,應用程序需要具有root訪問權限,并且必須使用設備的系統密鑰進行簽名。這就在早期限制了MediaProjection僅針對于Android OEM們開(kāi)發的系統級應用程序而使用。
但随着Android Lolipop(5.0)的發布,Google向所有人開(kāi)放(fàng)了這項服務。這就讓Android APP開(kāi)發商(shāng)無需擁有上述權限或用戶授權,即可收集用戶的屏幕内容,或記錄系統聲音。
問題在于,要使用MediaProjection服務時,APP隻需通過intent來調用系統的錄屏程序,便會觸發一(yī)個SystemUI的彈出窗口,來提示用戶該APP正在使用錄屏功能。不過此時攻擊者就可以在SystemUI彈出窗口上覆蓋任意信息界面,來誘導用戶同意,進而錄制屏幕活動。
由于SystemUI彈出窗口是防止濫用MediaProjection服務的唯一(yī)訪問控制機制,因此,攻擊者就能夠輕松繞過此機制來劫持該彈窗機制,從而獲得錄屏授權,所以安全威脅較大(dà)。
目前隻有Android 8.0針對該漏洞打了補丁
據悉,目前隻有Android 8.0爲該漏洞打了補丁,大(dà)量Android設備仍然面臨着安全威脅,建議安卓用戶盡快升級系統固件吧。此外(wài),APP開(kāi)發商(shāng)也可以在WindowsManager中(zhōng)啓動FLAG_SECURE參數,來确保APP界面内容不被屏幕截圖,或是在不安全環境下(xià)顯示。
上一(yī)篇:數據中(zhōng)心布線的五大(dà)趨勢
下(xià)一(yī)篇:ddos攻擊和cc攻擊區别是什麽?