※ 本文為 JackLee5566.bbs. 轉寄自 ptt.cc 更新時間: 2017-11-20 12:30:55
看板 MobileComm
作者 標題 [新聞] 小心Android漏洞讓駭客盜錄你的手機螢幕
時間 Mon Nov 20 11:00:34 2017
小心Android漏洞讓駭客盜錄你的手機螢幕
研究人員發現在Android 5.0之後的MediaProjection存在漏洞,app
開發商不需根權限或系統金鑰簽章就能蒐集用戶手機螢幕畫面,目前
僅有Android 8.0修補漏洞,將近8成的Android用戶曝露於個人隱私
外洩的風險。
開發商不需根權限或系統金鑰簽章就能蒐集用戶手機螢幕畫面,目前
僅有Android 8.0修補漏洞,將近8成的Android用戶曝露於個人隱私
外洩的風險。
文/林妍溱 | 2017-11-20發表
安全研究公司發現Android媒體播放功能有漏洞, 可能讓用戶手機螢
幕被外人盜錄而不自知。
這項漏洞出現在Android 5.0後加入Android Framework的
MediaProjection服務之中。 首先發現漏洞的安全公司MWR
MediaProjection服務之中。 首先發現漏洞的安全公司MWR
InfoSecurity指出,在Android 5.0版之前,app需要具備根權限或是
以系統金鑰簽章, 才能利用錄製螢幕上播放的影像,但5.0之後的
MediaProjection則讓Android app開發商在無需上述條件下,就能蒐
集用戶的螢幕內容, 或錄下系統聲音。此外,使用MediaProjection
服務在AndroidManifest.xml上也無需宣告。
集用戶的螢幕內容, 或錄下系統聲音。此外,使用MediaProjection
服務在AndroidManifest.xml上也無需宣告。
要使用MediaProjection服務時,app只需透過Intent呼叫存取這項系
統服務,而要存取該服務,則只要以一個 SystemUI提示訊息,警告
使用者呼叫該app可能錄製使用者螢幕畫面功能即可。因此,攻擊者
只要在這則SystemUI警告訊息之上覆蓋任意訊息,就能誘騙使用者按
下「OK」 而同意錄製。
統服務,而要存取該服務,則只要以一個 SystemUI提示訊息,警告
使用者呼叫該app可能錄製使用者螢幕畫面功能即可。因此,攻擊者
只要在這則SystemUI警告訊息之上覆蓋任意訊息,就能誘騙使用者按
下「OK」 而同意錄製。
由於Android中並沒有針對使用該API專用的核准, 因此無法判斷app
是否使用了MediaProjection服務。要是攻擊者的app能偵測
SystemUI 提示訊息,然後上面覆蓋一則掩人耳目的訊息, 威脅就更
大了。
目前只有Android 8.0已修補該漏洞, 因此最有效的解決之道是用戶
儘速升級到最新版。然而Android陣營向來升級腳步緩慢,因此可以
想見大量Android裝置正曝露於風險中。截止Google統計,安裝最新
版Android作業系統的裝置僅佔0.3%,而安裝Android 5.0到7.1的比
例高達78.7%。
儘速升級到最新版。然而Android陣營向來升級腳步緩慢,因此可以
想見大量Android裝置正曝露於風險中。截止Google統計,安裝最新
版Android作業系統的裝置僅佔0.3%,而安裝Android 5.0到7.1的比
例高達78.7%。
除了用戶方面升級外,研究人員也建議,app開發商可以在
WindowsManager中啟動FLAG_SECURE參數, 可確保app視窗內容不得
被螢幕擷圖,或是在不安全環境下顯示。
https://www.ithome.com.tw/news/118397
小心Android漏洞讓駭客盜錄你的手機螢幕 | iThome
研究人員發現在Android 5.0之後的MediaProjection存在漏洞,app開發商不需根權限或系統金鑰簽章就能蒐集用戶手機螢幕畫面,目前僅有Android 8.0修補漏洞,將近8成的Android用戶曝露於個人隱私外洩的風險。 ...
研究人員發現在Android 5.0之後的MediaProjection存在漏洞,app開發商不需根權限或系統金鑰簽章就能蒐集用戶手機螢幕畫面,目前僅有Android 8.0修補漏洞,將近8成的Android用戶曝露於個人隱私外洩的風險。 ...
這個漏洞直到最新版本的Oreo才修補欸,那這下可慘了,我的手機還停留在7.0
這真是令人沮喪的一件事情,我的手機恐怕也暴露於危險之中!
所以如果你的手機還沒有修補這個問題的話,記得什麼同意的東西不要亂按才好
否則隱私就洩光光了,當然如果你覺得你的個資本身不值錢就沒差啦
希望Google要趕快處理這個問題,因為肯定有很多手機是無法升級最新版本的
督促廠商提供更新解決這個問題才是更重要的吧?
--
◆投票名稱: 八卦板板主選舉 - 2017/7/1~2018/2/28
◆投票結果:(共有 1246 人投票,每人最多可投 2 票)
選 項 總票數 得票率 得票分布
olmtw 19 票 1.52% 0.87%
0.87%,是我
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 203.71.94.31
※ 文章代碼(AID): #1Q4aLMtL (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1511146838.A.DD5.html
推 : 還好我留還在安卓41F 11/20 11:01
→ : 還好還在2.3.4,連play商店都沒有2F 11/20 11:06
推 : 有些根本沒得升級啊 也沒有另外出安全更新3F 11/20 11:06
推 : 還好我還在2.3.4,有熱點分享功能就夠了4F 11/20 11:07
推 : 其實app 是可以針對Activity鎖錄影功能的5F 11/20 11:07
→ : setFlags(WindowManager.LayoutParams.FLAG_SECURE,
→ : 我目前維護的app 就有針對刷卡/登入頁面鎖定
→ : 這個功能就沒有限定 8.0 才能控制,一般工程師就能
→ : 處理了
→ : 如果用是在瀏覽器操作就比較難防範,儘快升級喔
→ : setFlags(WindowManager.LayoutParams.FLAG_SECURE,
→ : 我目前維護的app 就有針對刷卡/登入頁面鎖定
→ : 這個功能就沒有限定 8.0 才能控制,一般工程師就能
→ : 處理了
→ : 如果用是在瀏覽器操作就比較難防範,儘快升級喔
推 : 還好我用iPhone11F 11/20 11:13
Google禁止非身障專用app使用輔助服務API | iThome
多家開發商在日前收到Google的通知,非身障專用app將禁止使用輔助服務API,如在30天內未遵循就會被Google Play下架,引發了網路論壇上的熱烈討論。 ...
多家開發商在日前收到Google的通知,非身障專用app將禁止使用輔助服務API,如在30天內未遵循就會被Google Play下架,引發了網路論壇上的熱烈討論。 ...
→ : 一堆app會唉唉叫了,Tasker、綠色守護等都有用到13F 11/20 11:17
→ : 糟糕,這樣我的貓貓照片就會被看到了14F 11/20 11:21
推 : 沒有駭客想盜錄邊緣人的手機15F 11/20 11:23
→ : 三星還沒得升級O16F 11/20 11:24
推 : 沒關係我很邊緣 話說一半會被插話的那種 沒人要錄17F 11/20 11:30
推 : 怎麼三不五時就看到有漏洞...18F 11/20 11:30
推 : 就跟 Windows 普及後病毒一堆一樣的歷史啦19F 11/20 11:40
→ : 這是作業系統成為主流必然的過程,不用奇怪
→ : 這是作業系統成為主流必然的過程,不用奇怪
推 : Android Oreo 以前的問題就是安全性更新無法貫徹21F 11/20 11:46
→ : Google 釋出安全性更新還要看OEM廠商願不願意送OTA
→ : Google 釋出安全性更新還要看OEM廠商願不願意送OTA
推 : 好險我不重要QQ23F 11/20 11:47
推 : 來盜壓,沒再怕24F 11/20 11:56
推 : 所以從 8.0 開始核心都必須可以由 google 推送更新25F 11/20 11:57
→ : 想騙我換機,,不可能26F 11/20 12:05
→ : 樓上上說過頭了27F 11/20 12:16
→ : 既然這漏洞是採取偷雞模式呼叫 那play protect更新
→ : 掃描關鍵call就能抓到
→ : 既然這漏洞是採取偷雞模式呼叫 那play protect更新
→ : 掃描關鍵call就能抓到
→ : 反正也只會被看到我摸花音的頭 無感30F 11/20 12:22
--
※ 看板: Z_sports 文章推薦值: 0 目前人氣: 0 累積人氣: 27
回列表(←)
分享