android曝出新漏洞 可记录声音和屏幕活动-k8凯发棋牌

android曝出新漏洞 可记录声音和屏幕活动
作者:中关村在线(北京) 发布时间:2017-11-22

android用户要注意了,现在一个存在于mediaprojection功能服务中的新漏洞已被曝出。利用该漏洞,攻击者可以记录终端设备的声音和屏幕活动。预估约有77.5%的android设备受此漏洞影响。

mediaprojection是一个自从推出以来就存在于android中的系统级服务,负责屏幕采集,但是为了使用它,应用程序需要具有root访问权限,并且必须使用设备的系统密钥进行签名。这就在早期限制了mediaprojection仅针对于android oem们开发的系统级应用程序而使用。

但随着android lolipop(5.0)的发布,google向所有人开放了这项服务。这就让android app开发商无需拥有上述权限或用户授权,即可收集用户的屏幕内容,或记录系统声音。

问题在于,要使用mediaprojection服务时,app只需通过intent来调用系统的录屏程序,便会触发一个systemui的弹出窗口,来提示用户该app正在使用录屏功能。不过此时攻击者就可以在systemui弹出窗口上覆盖任意信息界面,来诱导用户同意,进而录制屏幕活动。

由于systemui弹出窗口是防止滥用mediaprojection服务的唯一访问控制机制,因此,攻击者就能够轻松绕过此机制来劫持该弹窗机制,从而获得录屏授权,所以安全威胁较大。

目前只有android 8.0针对该漏洞打了补丁

据悉,目前只有android 8.0为该漏洞打了补丁,大量android设备仍然面临着安全威胁,建议安卓用户尽快升级系统固件吧。此外,app开发商也可以在windowsmanager中启动flag_secure参数,来确保app界面内容不被屏幕截图,或是在不安全环境下显示。


网站地图