返回
  • 导航: 易配网 > 易配网手机新闻 > 小心Android漏洞让骇客盗录你的手机萤幕
  • 小心Android漏洞让骇客盗录你的手机萤幕

    台湾科技新闻:Android媒体播放功能有漏洞, 可能让用户手机萤幕被外人盗录而不自知。
     
    这项漏洞出现在Android 5.0后加入Android Framework的MediaProjection服务之中。 首先发现漏洞的安全公司MWR InfoSecurity指出,在Android 5.0版之前,app需要具备根权限或是以系统金钥签章, 才能利用录製萤幕上播放的影像,但5.0之后的MediaProjection则让Android app开发商在无需上述条件下,就能蒐集用户的萤幕内容, 或录下系统声音。此外,使用MediaProjection服务在AndroidManifest.xml上也无需宣告。
     
    要使用MediaProjection服务时,app只需透过Intent呼叫存取这项系统服务,而要存取该服务,则只要以一个 SystemUI提示讯息,警告使用者呼叫该app可能录製使用者萤幕画面功能即可。因此,攻击者只要在这则SystemUI警告讯息之上覆盖任意讯息,就能诱骗使用者按下「OK」 而同意录製。
     
    由于Android中并没有针对使用该API专用的核准, 因此无法判断app是否使用了MediaProjection服务。要是攻击者的app能侦测SystemUI 提示讯息,然后上面覆盖一则掩人耳目的讯息, 威胁就更大了。
     
    目前只有Android 8.0已修补该漏洞, 因此最有效的解决之道是用户儘速升级到最新版。然而Android阵营向来升级脚步缓慢,因此可以想见大量Android装置正曝露于风险中。,安装最新版Android作业系统的装置仅佔0.3%,而安装Android 5.0到7.1的比例高达78.7%。
     
    除了用户方面升级外,研究人员也建议,app开发商可以在WindowsManager中启动FLAG_SECURE参数, 可确保app视窗内容不得被萤幕撷图,或是在不安全环境下显示。
    document.writeln("本文来源于 times.hinet.net , 由易配网 http://www.yiper.cn 整理
    ");
    回顶部