小心Android漏洞让骇客盗录你的手机萤幕
研究人员发现在Android 5.0之后的MediaProjection存在漏洞,app
开发商不需根权限或系统金钥签章就能蒐集用户手机萤幕画面,目前
仅有Android 8.0修补漏洞,将近8成的Android用户曝露于个人隐私
外泄的风险。
文/林妍溱 | 2017-11-20发表
安全研究公司发现Android媒体播放功能有漏洞, 可能让用户手机萤
幕被外人盗录而不自知。
这项漏洞出现在Android 5.0后加入Android Framework的
MediaProjection服务之中。 首先发现漏洞的安全公司MWR
InfoSecurity指出,在Android 5.0版之前,app需要具备根权限或是
以系统金钥签章, 才能利用录制萤幕上播放的影像,但5.0之后的
MediaProjection则让Android app开发商在无需上述条件下,就能蒐
集用户的萤幕内容, 或录下系统声音。此外,使用MediaProjection
服务在AndroidManifest.xml上也无需宣告。
要使用MediaProjection服务时,app只需透过Intent呼叫存取这项系
统服务,而要存取该服务,则只要以一个 SystemUI提示讯息,警告
使用者呼叫该app可能录制使用者萤幕画面功能即可。因此,攻击者
只要在这则SystemUI警告讯息之上覆蓋任意讯息,就能诱骗使用者按
下“OK” 而同意录制。
由于Android中并没有针对使用该API专用的核准, 因此无法判断app
是否使用了MediaProjection服务。要是攻击者的app能侦测
SystemUI 提示讯息,然后上面覆蓋一则掩人耳目的讯息, 威胁就更
大了。
目前只有Android 8.0已修补该漏洞, 因此最有效的解决之道是用户
尽速升级到最新版。然而Android阵营向来升级脚步缓慢,因此可以
想见大量Android装置正曝露于风险中。截止Google统计,安装最新
版Android作业系统的装置仅占0.3%,而安装Android 5.0到7.1的比
例高达78.7%。
除了用户方面升级外,研究人员也建议,app开发商可以在
WindowsManager中启动FLAG_SECURE参数, 可确保app视窗内容不得
被萤幕撷图,或是在不安全环境下显示。
https://www.ithome.com.tw/news/118397
这个漏洞直到最新版本的Oreo才修补欸,那这下可惨了,我的手机还停留在7.0
这真是令人沮丧的一件事情,我的手机恐怕也暴露于危险之中!
所以如果你的手机还没有修补这个问题的话,记得什么同意的东西不要乱按才好
否则隐私就泄光光了,当然如果你觉得你的个资本身不值钱就没差啦
希望Google要赶快处理这个问题,因为肯定有很多手机是无法升级最新版本的
督促厂商提供更新解决这个问题才是更重要的吧?