「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
近日國外安全機構 MWR LABS 發現,Android 5.0、Android 6.0、Android 7.0 等系統裝置的 MediaProjection 有漏洞,App 開發商不需要權限或系統金鑰簽章就能直接進入 MediaProjection,瀏覽用戶的手機螢幕,目前只有 Android 8.0 完成修復,而據統計,約有 77.5% 的 Android 用戶受到影響。
Android MediaProjection 有漏洞
這次 MWR LABS 發現的漏洞出現在 Android Framework 的 MediaProjection 裡,從 Android 5.0 系統就已經存在。據 MWR LABS 指出,在 Android 5.0 系統前,App 開發者必須擁有權限或系統金鑰簽章才能錄製手機螢幕的影像,然而從 Android 5.0 以後,App 開發商不需要有權限或金鑰就能蒐集螢幕內容, 或錄下系統聲音。
重點是,App 開發商使用 MediaProjection 時,也不用在 AndroidManifest.xml 宣告。
MediaProjection 之所以會被濫用,主因是當 App 要存取系統服務時,只需透過「intent call」存取在 SystemUI 顯示提醒訊息,警告使用者這個 App 可能會錄製使用者螢幕畫面功能即可。因此,只要駭客在系統警告訊息上覆蓋任意訊息,就能誘騙使用者按下「OK」 而同意錄製。
這項技術被稱為「tap-jacking」(綁架觸控螢幕),多年來一直被 Android 惡意軟體開發者濫用。
Google 只修復 Android Oreo 的漏洞
目前 Google 發布 Android Oreo(8.0)已經修復了這個安全漏洞,但 Android 5.0/6.0/7.0 系統等舊版本裝置仍非常脆弱,而最有效的解決之道是用戶儘速升級到最新版,如果你的手機製造商有提供更新的話,沒有的話,那就只能換手機了。
但慶幸的是,研究人員表示,這種攻擊方式並非 100% 無法預防的,假若有駭客在錄音或錄製螢幕時,在用戶的螢幕通知欄上就會顯示通知。
除了用戶方面升級外,研究人員也建議,App 開發商可以在 WindowsManager 中啟動 FLAG_SECURE 參數, 可確保 App 視窗內容不得被螢幕擷圖,或是在不安全環境下顯示。
延伸閱讀:
Wi-Fi WPA2 加密崩壞、資料外洩風暴!iOS、Android、PC 等所有裝置都暴露在 KRACK 攻擊風險中
情色霸主 Pornhub 被駭!一年內逛過網站可能中毒(含解毒方法)
藍牙驚爆漏洞!全球 53 億裝置中獎,只要駭客靠近就會被綁架
圖片及資料來源:Securityaffairs、MWR LABS
|
