研究人员发现在Android 5.0之后的MediaProjection存在漏洞,app开发商不需根权限或系统密钥签章就能搜集用户手机屏幕画面,目前仅有Android 8.0修补漏洞,将近8成的Android用户曝露于个人隐私外泄的风险。
安全研究公司发现Android媒体播放功能有漏洞, 可能让用户手机屏幕被外人盗录而不自知。
这项漏洞出现在Android 5.0后加入AndroidFramework的MediaProjection服务之中。 首先发现漏洞的安全公司MWR InfoSecurity指出,在Android 5.0版之前,app需要具备根权限或是以系统密钥签章, 才能利用录制屏幕上播放的影像,但5.0之后的MediaProjection则让Android app开发商在无需上述条件下,就能搜集用户的屏幕内容, 或录下系统声音。此外,使用MediaProjection服务在AndroidManifest.xml上也无需宣告。
要使用MediaProjection服务时,app只需透过Intent呼叫存取这项系统服务,而要存取该服务,则只要以一个 SystemUI提示讯息,警告用户呼叫该app可能录制用户屏幕画面功能即可。因此,攻击者只要在这则SystemUI警告讯息之上覆盖任意讯息,就能诱骗用户按下「OK」 而同意录制。
文章出自:LHF利豪发电子游戏 http://yearlead.com.tw/
由于Android中并没有针对使用该API专用的核准, 因此无法判断app是否使用了MediaProjection服务。要是攻击者的app能侦测SystemUI 提示讯息,然后上面覆盖一则掩人耳目的讯息, 威胁就更大了。
目前只有Android 8.0已修补该漏洞, 因此最有效的解决之道是用户尽速升级到最新版。然而Android阵营向来升级脚步缓慢,因此可以想见大量Android装置正曝露于风险中。Google统计,安装最新版Android操作系统的装置仅占0.3%,而安装Android 5.0到7.1的比例高达78.7%。
除了用户方面升级外,研究人员也建议,app开发商可以在WindowsManager中启动FLAG_SECURE参数, 可确保app窗口内容不得被屏幕撷图,或是在不安全环境下显示。
扫一扫
112
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
