• 江西试点电子社保卡 在微信支付宝上就能用 2019-05-10
  • 火箭想送走安德森必须搭上他 不出此人难以打动对方 2019-05-05
  • 新时代全面从严治党进行时——中央国家机关学懂弄通做实党的十九大精神 2019-05-01
  • 有事没事扎针灸?别这样养生 2019-04-26
  • 比利时并不轻松地击败巴拿马 2019-04-13
  • 山西省地勘局211队举办“安全生产月”知识培训--黄河新闻网 2019-04-10
  • 货币金融安全应该已经迫在眉睫,应该成立党中央牵头的货币管制委员会,必要时采取非常规手段以保无虞。 2019-04-05
  • 全世界人民都要顺应人类社会发展规律,不断扩大社会财富公有制的范围,不断缩小社会财富私有制的范围,以便最终消灭社会财富私有制,建立共产主义社会财富公有制。 2019-03-28
  • “龙江二号”微卫星传回地月合影 2019-03-28
  • 人为财死鸟为食亡,看起来很朴素的道理。所谓领袖,就是能把各向异性的人为财死的行为变为各向同性的人为志亡的行动,基础就是靠着为人提供安居乐业的机会,让人不再有分散 2019-03-25
  • 连续不胜!卡帅造恒大最差战绩 他真是球队真命天子? 2019-03-22
  • 党代会历史细节 从一大到十八大 2019-03-17
  • 雪域高原 山地步兵备战国际军事比赛“厄尔布鲁士之环”项目 2019-03-10
  • 喀什12个贫困村实现生活垃圾集中处置 2019-03-10
  • 《青春之歌》咏叹梦想 2019-03-05
  • ?
    ?

    一个漏洞泄露安卓用户的声音

    • 发布者:geekpeer / 来源:嘶吼 / 2017-12-01 11:40:07
    • 0

    上海时时乐走势图2oo期 www.gsfca.com 近日,有消息称运行Lolipop,Marshmallow和Nougat的Android智能手机很容易受到MediaProjection的利用,捕获用户屏幕并攻击系统音频的录制。

    根据估计,Android设备中约有77.5%受此漏洞的影响。

    1511275254371253.png

    Android MediaProjection服务中存在漏洞

    MediaProjection是一种能够捕获屏幕内容并记录系统音频的Android服务。这个服务自产生以来就存在于Android系统中,但如果想要使用它,就需要有应用程序root访问权限,并且还必须要使用设备释放的密钥来进行签名。如此一来就限制了MediaProjection只适用于Android OEM部署的应用程序系统。

    随着Android Lolipop(5.0)的发布,Google向大众开放了这项服务??晌侍庠谟贕oogle没有将这项服务放在应用程序可能需要用户的权限之后。

    UI设计缺陷导致了Android用户可以被攻击

    相反,应用程序只需要通过“意图调用”来请求访问这个高度侵入性的系统服务,在这时就会显示一个SystemUI弹出窗口,当应用程序想要捕获屏幕和系统音频时,将会弹出一个警告窗口。

    在去年冬天,MWR实验室的安全研究人员发现,攻击者可以检测到这个SystemUI弹出窗口,并知道这个弹出窗口会在何时出现,如此一来攻击者就可以触发任意一个弹出窗口,并用另一个消息来伪装它的文本。这种技术被称为tap-jacking,多年来一直被Android恶意软件开发者使用。

    MWR 团队在上周发布的报告中解释说:

    这个漏洞的主要原因是受影响的Android版本无法检测到部分模糊的SystemUI弹出窗口。这使得攻击者可以制作一个应用程序,在SystemUI弹出框上绘制一个覆盖图,紧接着导致应用程序的权限提升,从而允许它捕获用户的屏幕。

    此外,专家还补充说;“实际上,SystemUI弹出窗口是防止滥用MediaProjection服务的唯一控制机制,攻击者可以通过利用弹出窗口劫持此机制并绕过,从而授予其应用程序捕获用户的屏幕”。

    1511275268531833.png

    Google仅在Android Oreo中修补了错误

    随着Android Oreo(8.0)的发布,今年秋季Google在Android操作系统中修补了这个漏洞。但较旧的Android版本仍然还是很脆弱。

    然而,研究人员表示这种攻击并非是100%无声,因为只要攻击者在录制音频或捕获屏幕时,屏幕录像图标就会出现在用户的通知栏中。


    你可能还喜欢

    安卓发布AR开发工具,但运行设备比iPhone少多了

    网易科技讯 8 月 30 日消息,据Appleinsider报道,谷歌已经宣布了自己的增强现实(AR)计划,称为ARCore。但其对Android版本有严格限制,

    • 2017-08-30
    向iOS靠拢?安卓9.0将禁止开发者使用非官方API

    据开发者论坛XDA的消息,在安桌开放源代码项目(AOSP)中最近的一个提交报告发现,安卓9 0有可能会限制应用程序访问Android SDK中未记录的

    • 2018-01-19
    ?
    ?
  • 江西试点电子社保卡 在微信支付宝上就能用 2019-05-10
  • 火箭想送走安德森必须搭上他 不出此人难以打动对方 2019-05-05
  • 新时代全面从严治党进行时——中央国家机关学懂弄通做实党的十九大精神 2019-05-01
  • 有事没事扎针灸?别这样养生 2019-04-26
  • 比利时并不轻松地击败巴拿马 2019-04-13
  • 山西省地勘局211队举办“安全生产月”知识培训--黄河新闻网 2019-04-10
  • 货币金融安全应该已经迫在眉睫,应该成立党中央牵头的货币管制委员会,必要时采取非常规手段以保无虞。 2019-04-05
  • 全世界人民都要顺应人类社会发展规律,不断扩大社会财富公有制的范围,不断缩小社会财富私有制的范围,以便最终消灭社会财富私有制,建立共产主义社会财富公有制。 2019-03-28
  • “龙江二号”微卫星传回地月合影 2019-03-28
  • 人为财死鸟为食亡,看起来很朴素的道理。所谓领袖,就是能把各向异性的人为财死的行为变为各向同性的人为志亡的行动,基础就是靠着为人提供安居乐业的机会,让人不再有分散 2019-03-25
  • 连续不胜!卡帅造恒大最差战绩 他真是球队真命天子? 2019-03-22
  • 党代会历史细节 从一大到十八大 2019-03-17
  • 雪域高原 山地步兵备战国际军事比赛“厄尔布鲁士之环”项目 2019-03-10
  • 喀什12个贫困村实现生活垃圾集中处置 2019-03-10
  • 《青春之歌》咏叹梦想 2019-03-05