查看: 148|回復: 1

[最新消息] Android 使用者注意!系統漏洞讓駭客盜錄你的手機螢幕

[複製鏈接]
發表於 2017-11-28 09:07:25 | 顯示全部樓層 |閱讀模式

看不到內容嗎?快點來註冊吧!

您需要 登錄 才可以下載或查看,沒有帳號?立即註冊

x
001.jpg
近日國外安全機構 MWR LABS 發現,Android 5.0、Android 6.0、Android 7.0 等系統裝置的 MediaProjection 有漏洞,App 開發商不需要權限或系統金鑰簽章就能直接進入 MediaProjection,瀏覽用戶的手機螢幕,目前只有 Android 8.0 完成修復,而據統計,約有 77.5% 的 Android 用戶受到影響。

Android MediaProjection 有漏洞

這次 MWR LABS 發現的漏洞出現在 Android Framework 的 MediaProjection 裡,從 Android 5.0 系統就已經存在。據 MWR LABS 指出,在 Android 5.0 系統前,App 開發者必須擁有權限或系統金鑰簽章才能錄製手機螢幕的影像,然而從 Android 5.0 以後,App 開發商不需要有權限或金鑰就能蒐集螢幕內容, 或錄下系統聲音。

重點是,App 開發商使用 MediaProjection 時,也不用在 AndroidManifest.xml 宣告。

MediaProjection 之所以會被濫用,主因是當 App 要存取系統服務時,只需透過「intent call」存取在 SystemUI 顯示提醒訊息,警告使用者這個 App 可能會錄製使用者螢幕畫面功能即可。因此,只要駭客在系統警告訊息上覆蓋任意訊息,就能誘騙使用者按下「OK」 而同意錄製。

這項技術被稱為「tap-jacking」(綁架觸控螢幕),多年來一直被 Android 惡意軟體開發者濫用。

Google 只修復 Android Oreo 的漏洞
002.jpg

目前 Google 發布 Android Oreo(8.0)已經修復了這個安全漏洞,但 Android 5.0/6.0/7.0 系統等舊版本裝置仍非常脆弱,而最有效的解決之道是用戶儘速升級到最新版,如果你的手機製造商有提供更新的話,沒有的話,那就只能換手機了。

但慶幸的是,研究人員表示,這種攻擊方式並非 100% 無法預防的,假若有駭客在錄音或錄製螢幕時,在用戶的螢幕通知欄上就會顯示通知。

除了用戶方面升級外,研究人員也建議,App 開發商可以在 WindowsManager 中啟動 FLAG_SECURE 參數, 可確保 App 視窗內容不得被螢幕擷圖,或是在不安全環境下顯示。

原文

基本上現在的系統都有各種各樣的漏洞,時常是補了又補
只要系統商勤補救就好
最重要的是不要亂按不明的連接跟下載不明的軟體




上一篇︰Google 在Pixel 中內置了“智能電池”功能,讓電量預測更準確
下一篇︰Google要求App必須取得用戶同意才能蒐集資料
發表於 2017-11-28 22:38:29 | 顯示全部樓層
如果沒法更換手機的就要自己小心了,為什麼google不出補丁呢?
回復

使用道具 舉報

返回列表 發新帖
您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

快速回復 返回頂部 返回列表