• Android曝出新漏洞 可记录声音和屏幕活动

    时间:2017-11-21    来源:中关村在线    作者:郑伟 我要评论() 字号:T | T

  •  Android用户要注意了,现在一个存在于MediaProjection功能服务中的新漏洞已被曝出。利用该漏洞,攻击者可以记录终端设备的声音和屏幕活动。预估约有77.5%的Android设备受此漏洞影响。

    Android曝出新漏洞 可记录声音和屏幕活动
    Android曝出新漏洞 可记录声音和屏幕活动

    MediaProjection是一个自从推出以来就存在于Android中的系统级服务,负责屏幕采集,但是为了使用它,应用程序需要具有root访问权限,并且必须使用设备的系统密钥进行签名。这就在早期限制了MediaProjection仅针对于Android OEM们开发的系统级应用程序而使用。

    但随着Android Lolipop(5.0)的发布,Google向所有人开放了这项服务。这就让Android APP开发商无需拥有上述权限或用户授权,即可收集用户的屏幕内容,或记录系统声音。

    问题在于,要使用MediaProjection服务时,APP只需通过intent来调用系统的录屏程序,便会触发一个SystemUI的弹出窗口,来提示用户该APP正在使用录屏功能。不过此时攻击者就可以在SystemUI弹出窗口上覆盖任意信息界面,来诱导用户同意,进而录制屏幕活动。

    由于SystemUI弹出窗口是防止滥用MediaProjection服务的唯一访问控制机制,因此,攻击者就能够轻松绕过此机制来劫持该弹窗机制,从而获得录屏授权,所以安全威胁较大。

    目前只有Android 8.0针对该漏洞打了补丁

    目前只有Android 8.0针对该漏洞打了补丁

    据悉,目前只有Android 8.0为该漏洞打了补丁,大量Android设备仍然面临着安全威胁,建议安卓用户尽快升级系统固件吧。此外,APP开发商也可以在WindowsManager中启动FLAG_SECURE参数,来确保APP界面内容不被屏幕截图,或是在不安全环境下显示。

  • 加入收藏
  • [ 作者:郑伟 ]
  • 分享到: 更多
    标签:
  • 相关推荐
    无相关信息
  • 最新消息
    · 应用宝星APP6月榜单出炉 “世界杯热”燃到APP圈2018-07-18
    · 迅雷发布为区块链而生的文件协议TCFS2018-07-06
    · 一天撒币近11亿美元入股两大直播平台 腾讯此举到底为何?2018-03-09
    · 工信部部长:中国已经着手研究6G2018-03-09
    · 百度搜狐撒币入场 直播答题卷土再战2018-03-05
      已有条评论,查看更多评伦发表评论
  • 用户名:  密码:              匿名发表  | 注册会员
  • 网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述