頁:
[1]
[新訊]小心Android漏洞讓駭客盜錄你的手機螢幕
研究人員發現在Android 5.0之後的MediaProjection存在漏洞,app開發商不需根權限或系統金鑰簽章就能蒐集用戶手機螢幕畫面,目前僅有Android 8.0修補漏洞,將近8成的Android用戶曝露於個人隱私外洩的風險。安全研究公司發現Android媒體播放功能有漏洞, 可能讓用戶手機螢幕被外人盜錄而不自知。
這項漏洞出現在Android 5.0後加入Android Framework的MediaProjection服務之中。 首先發現漏洞的安全公司MWR InfoSecurity指出,在Android 5.0版之前,app需要具備根權限或是以系統金鑰簽章, 才能利用錄製螢幕上播放的影像,但5.0之後的MediaProjection則讓Android app開發商在無需上述條件下,就能蒐集用戶的螢幕內容, 或錄下系統聲音。此外,使用MediaProjection服務在AndroidManifest.xml上也無需宣告。
要使用MediaProjection服務時,app只需透過Intent呼叫存取這項系統服務,而要存取該服務,則只要以一個 SystemUI提示訊息,警告使用者呼叫該app可能錄製使用者螢幕畫面功能即可。因此,攻擊者只要在這則SystemUI警告訊息之上覆蓋任意訊息,就能誘騙使用者按下「OK」 而同意錄製。
由於Android中並沒有針對使用該API專用的核准, 因此無法判斷app是否使用了MediaProjection服務。要是攻擊者的app能偵測SystemUI 提示訊息,然後上面覆蓋一則掩人耳目的訊息, 威脅就更大了。
目前只有Android 8.0已修補該漏洞, 因此最有效的解決之道是用戶儘速升級到最新版。然而Android陣營向來升級腳步緩慢,因此可以想見大量Android裝置正曝露於風險中。截止Google統計,安裝最新版Android作業系統的裝置僅佔0.3%,而安裝Android 5.0到7.1的比例高達78.7%。
除了用戶方面升級外,研究人員也建議,app開發商可以在WindowsManager中啟動FLAG_SECURE參數, 可確保app視窗內容不得被螢幕擷圖,或是在不安全環境下顯示。...<div class='locked'><em>瀏覽完整內容,請先 <a href='member.php?mod=register'>註冊</a> 或 <a href='javascript:;' onclick="lsSubmit()">登入會員</a></em></div><div></div> 還好我只支持蘋果,安全多了 趕快推出更新,要快,雖然我不知道怎麼做,但是你們要快。 既然已經報導出來了.那應該很快就會更新了吧 現在黑客太利害了, 最有效的解決之道是儘速升級及下載要注意, 不過還是會防不勝防<br><br><br><br><br><div></div>
頁:
[1]