• 神奇!沈阳现3D稻田画 2019-07-18
  • 外媒:中俄合研大客机总体布局确定 2023年首飞 2019-07-04
  • 《新乌龙院之笑闹江湖》吴孟达郝劭文时隔24年再聚首 2019-07-04
  • 中共中央直属机关党校 2019-07-01
  • 汇聚正能量 讴歌新时代——关于用微电影传播核心价值观的倡议书 2019-06-21
  • 【北京睿通伟业车型报价】北京睿通伟业综合店车型价格 2019-06-16
  • 第十二届人民企业社会责任奖评选奖项说明 2019-06-10
  • 凝聚着中国智慧中国创造的中国核电将创造更多的中国辉煌。 2019-06-10
  • 很重要一个原因,是中国租房非常不方便,没有一个比较完善的租房市场,监管也不力。 2019-06-05
  • 西南民族大学校领导班子调整 杨敏任党委书记 2019-06-05
  • 1至5月我区为企业和社会减负4200余万元 2019-06-01
  • 普莉西雅《It Began With A Fallen Leaf》MV首播 2019-05-30
  • 中国人性格比较隐忍,当积怨越来越深,隐忍到一定程度就会像炸弹一样爆发控制不了,为时过晚了 2019-05-24
  • “中西部中小学校校舍照明改善示范工程项目”北京结题 2019-05-24
  • 江西试点电子社保卡 在微信支付宝上就能用 2019-05-10
  • ?
    ?

    一个漏洞泄露安卓用户的声音

    • 发布者:geekpeer / 来源:嘶吼 / 2017-12-01 11:40:07
    • 0

    上海时时乐走势图2oo期 www.gsfca.com 近日,有消息称运行Lolipop,Marshmallow和Nougat的Android智能手机很容易受到MediaProjection的利用,捕获用户屏幕并攻击系统音频的录制。

    根据估计,Android设备中约有77.5%受此漏洞的影响。

    1511275254371253.png

    Android MediaProjection服务中存在漏洞

    MediaProjection是一种能够捕获屏幕内容并记录系统音频的Android服务。这个服务自产生以来就存在于Android系统中,但如果想要使用它,就需要有应用程序root访问权限,并且还必须要使用设备释放的密钥来进行签名。如此一来就限制了MediaProjection只适用于Android OEM部署的应用程序系统。

    随着Android Lolipop(5.0)的发布,Google向大众开放了这项服务??晌侍庠谟贕oogle没有将这项服务放在应用程序可能需要用户的权限之后。

    UI设计缺陷导致了Android用户可以被攻击

    相反,应用程序只需要通过“意图调用”来请求访问这个高度侵入性的系统服务,在这时就会显示一个SystemUI弹出窗口,当应用程序想要捕获屏幕和系统音频时,将会弹出一个警告窗口。

    在去年冬天,MWR实验室的安全研究人员发现,攻击者可以检测到这个SystemUI弹出窗口,并知道这个弹出窗口会在何时出现,如此一来攻击者就可以触发任意一个弹出窗口,并用另一个消息来伪装它的文本。这种技术被称为tap-jacking,多年来一直被Android恶意软件开发者使用。

    MWR 团队在上周发布的报告中解释说:

    这个漏洞的主要原因是受影响的Android版本无法检测到部分模糊的SystemUI弹出窗口。这使得攻击者可以制作一个应用程序,在SystemUI弹出框上绘制一个覆盖图,紧接着导致应用程序的权限提升,从而允许它捕获用户的屏幕。

    此外,专家还补充说;“实际上,SystemUI弹出窗口是防止滥用MediaProjection服务的唯一控制机制,攻击者可以通过利用弹出窗口劫持此机制并绕过,从而授予其应用程序捕获用户的屏幕”。

    1511275268531833.png

    Google仅在Android Oreo中修补了错误

    随着Android Oreo(8.0)的发布,今年秋季Google在Android操作系统中修补了这个漏洞。但较旧的Android版本仍然还是很脆弱。

    然而,研究人员表示这种攻击并非是100%无声,因为只要攻击者在录制音频或捕获屏幕时,屏幕录像图标就会出现在用户的通知栏中。


    你可能还喜欢

    安卓发布AR开发工具,但运行设备比iPhone少多了

    网易科技讯 8 月 30 日消息,据Appleinsider报道,谷歌已经宣布了自己的增强现实(AR)计划,称为ARCore。但其对Android版本有严格限制,

    • 2017-08-30
    向iOS靠拢?安卓9.0将禁止开发者使用非官方API

    据开发者论坛XDA的消息,在安桌开放源代码项目(AOSP)中最近的一个提交报告发现,安卓9 0有可能会限制应用程序访问Android SDK中未记录的

    • 2018-01-19
    ?
    ?
  • 神奇!沈阳现3D稻田画 2019-07-18
  • 外媒:中俄合研大客机总体布局确定 2023年首飞 2019-07-04
  • 《新乌龙院之笑闹江湖》吴孟达郝劭文时隔24年再聚首 2019-07-04
  • 中共中央直属机关党校 2019-07-01
  • 汇聚正能量 讴歌新时代——关于用微电影传播核心价值观的倡议书 2019-06-21
  • 【北京睿通伟业车型报价】北京睿通伟业综合店车型价格 2019-06-16
  • 第十二届人民企业社会责任奖评选奖项说明 2019-06-10
  • 凝聚着中国智慧中国创造的中国核电将创造更多的中国辉煌。 2019-06-10
  • 很重要一个原因,是中国租房非常不方便,没有一个比较完善的租房市场,监管也不力。 2019-06-05
  • 西南民族大学校领导班子调整 杨敏任党委书记 2019-06-05
  • 1至5月我区为企业和社会减负4200余万元 2019-06-01
  • 普莉西雅《It Began With A Fallen Leaf》MV首播 2019-05-30
  • 中国人性格比较隐忍,当积怨越来越深,隐忍到一定程度就会像炸弹一样爆发控制不了,为时过晚了 2019-05-24
  • “中西部中小学校校舍照明改善示范工程项目”北京结题 2019-05-24
  • 江西试点电子社保卡 在微信支付宝上就能用 2019-05-10
  • 极速11选5计划 广东十一选五开奖时间 摩登财神 彩票中奖是领现金吗 山西11选5怎样投注 新浪彩票图表频道 中国竞彩网竞猜冠亚军 今期开六肖中特 重庆快乐10分外挂软件下载 超级大乐透中1个蓝球 河南11选5的平台 白小姐免费玄机资料大全 体彩排列3组选6复式 金蝉捕鱼破解版 快乐10分任三