Android用户要注意了,现在一个存在于MediaProjection功能服务中的新漏洞已被曝出。利用该漏洞,攻击者可以记录终端设备的声音和屏幕活动。预估约有77.5%的Android设备受此漏洞影响。
Android曝出新漏洞 可记录声音和屏幕活动
MediaProjection是一个自从推出以来就存在于Android中的系统级服务,负责屏幕采集,但是为了使用它,应用程序需要具有root访问权限,并且必须使用设备的系统密钥进行签名。这就在早期限制了MediaProjection仅针对于Android OEM们开发的系统级应用程序而使用。
但随着Android Lolipop(5.0)的发布,Google向所有人开放了这项服务。这就让Android APP开发商无需拥有上述权限或用户授权,即可收集用户的屏幕内容,或记录系统声音。
问题在于,要使用MediaProjection服务时,APP只需通过intent来调用系统的录屏程序,便会触发一个SystemUI的弹出窗口,来提示用户该APP正在使用录屏功能。不过此时攻击者就可以在SystemUI弹出窗口上覆盖任意信息界面,来诱导用户同意,进而录制屏幕活动。
由于SystemUI弹出窗口是防止滥用MediaProjection服务的唯一访问控制机制,因此,攻击者就能够轻松绕过此机制来劫持该弹窗机制,从而获得录屏授权,所以安全威胁较大。
目前只有Android 8.0针对该漏洞打了补丁
据悉,目前只有Android 8.0为该漏洞打了补丁,大量Android设备仍然面临着安全威胁,建议安卓用户尽快升级系统固件吧。此外,APP开发商也可以在WindowsManager中启动FLAG_SECURE参数,来确保APP界面内容不被屏幕截图,或是在不安全环境下显示。
(责任编辑:安博涛)
