欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

一个破绽泄漏安卓用户的声响

de64384a174e12dc2017-11-279新闻

克日,有音讯称运转Lolipop,Marshmallow和Nougat的Android智能手机很轻易遭到MediaProjection的应用,捕捉用户屏幕并进击体系音频的录制。

依据预计,Android装备中约有77.5%受此破绽的影响。

1511275254371253.png 一个破绽泄漏安卓用户的声响  新闻 第1张 1511275254371253.png 一个破绽泄漏安卓用户的声响  新闻 第1张

Android MediaProjection效劳中存在破绽

MediaProjection是一种能够或许捕捉屏幕内容并纪录体系音频的Android效劳。这个效劳自发生以来就存在于Android体系中,但若是想要运用它,就须要有应用程序root接见权限,而且还必须要运用装备开释的密钥来停止署名。如此一来就限定了MediaProjection只适用于Android OEM布置的应用程序体系。

跟着Android Lolipop(5.0)的宣布,Google向群众开放了这项效劳。可问题在于Google没有将这项效劳放在应用程序能够须要用户的权限以后。

UI设想缺点致使了Android用户能够被进击

相反,应用程序只须要经由过程“企图挪用”来要求接见这个高度侵入性的体系效劳,在这时候就会显现一个SystemUI弹出窗口,当应用程序想要捕捉屏幕和体系音频时,将会弹出一个正告窗口。

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

在客岁冬季,MWR实验室的平安研究人员发明,进击者能够检测到这个SystemUI弹出窗口,并晓得这个弹出窗口会在什么时候涌现,如此一来进击者就能够或许触发恣意一个弹出窗口,并用另一个音讯来假装它的文本。这类手艺被称为tap-jacking,多年来一向被Android歹意软件开发者运用。

MWR 团队在上周宣布的申报中诠释说:

这个破绽的重要原因是受影响的Android版本没法检测到局部隐约的SystemUI弹出窗口。这使得进击者能够制造一个应用程序,在SystemUI弹出框上绘制一个掩盖图,紧接着致使应用程序的权限提拔,从而许可它捕捉用户的屏幕。

另外,专家还增补说;“实际上,SystemUI弹出窗口是防备滥用MediaProjection效劳的独一掌握机制,进击者能够经由过程应用弹出窗口挟制此机制并绕过,从而授与其应用程序捕捉用户的屏幕”。

1511275268531833.png 一个破绽泄漏安卓用户的声响  新闻 第3张 1511275268531833.png 一个破绽泄漏安卓用户的声响  新闻 第3张

Google仅在Android Oreo中修补了毛病

跟着Android Oreo(8.0)的宣布,往年春季Google在Android操作体系中修补了这个破绽。但较旧的Android版本依然照样很软弱。

但是,研究人员透露表现这类进击并非是100%无声,由于只需进击者在录制音频或捕捉屏幕时,屏幕录相图标就会涌现在用户的关照栏中。

本文翻译自:https://www.bleepingcomputer.com/news/security/android-bug-lets-attackers-record-audio-and-screen-activity-on-3-of-4-smartphones/ ,如若转载,请说明原文地点: http://www.4hou.com/info/news/8657.html

网友评论