注意了!安卓系统惊现隐私漏洞
最近,安卓系统总是出现各种Bug和漏洞,让许多安卓手机用户受尽困扰,最近安卓又有新漏洞出现,攻击者利用该漏洞可以记录终端设备的声音和屏幕的活动。
Android是一种基于Linux的自由及开放源代码的操作系统,主要使用于移动设备,如智能手机和平板电脑,由Google公司和开放手机联盟领导及开发。
具体资料
- 01
Google在2007年11月5日宣布的基于Linux平台的开源手机操作系统的名称,该平台由操作系统、中间件、用户界面和应用软件组成。2017年8月22日,谷歌正式发布了Android 8.0的正式版,其正式名称为Android Oreo。 安卓系统对于于苹果系统,安全系数没那么高,因为安卓是一个开源的系统,而苹果系统则是具有封闭性的。
- 02
回到主题,最近Android被发现了一个漏洞,那就是一个存在于MediaProjection功能服务的新漏洞。攻击者利用该漏洞可以记录终端设备的声音和屏幕的活动,初步预估约将有77.5%的Android设备受到此漏洞的影响。 MediaProjection这个系统服务,自从推出以来就存在于Android系统中,主要负责屏幕采集,需要使用它的时候,应用程序需要具有root访问权限,但是随着Android Lolipop 5.0版本的发布,Google向所有开发者开放了这项服务。 这就让安卓APP开发商们拥有无限的权限,并不需要用户的授权就可以收集到用户的屏幕内容,或者记录系统声音。
- 03
技术的实现主要是这样的,当需要使用MediaProjection的服务时,APP会通过intent函数来调用系统的录屏程序,调用系统程序的时候,就会触发一个SystemUI的窗口,提示用户这个APP正在使用录屏的功能。 攻击者在这个时候可以在SystemUI弹出的窗口上覆盖其他任意信息界面,来诱导用户点击“同意”,从而进行录制屏幕的活动。主要是因为SystemUI弹出窗口是防止滥用MediaProjection服务的唯一访问控制机制,因此,攻击者就能够轻松绕过此机制来劫持该弹窗机制,从而获得录屏授权。 正规的APP开发商也可以在WindowsManager中启动FLAG_SECURE参数,在开发时配置参数即可,来确保APP界面内容在不安全环境下不要显示。
- 04
据消息称,目前只有Android 8.0系统为这个漏洞打上了漏洞补丁,市场上仍存在着大量的Android设备面临着安全的威胁,所以小编在这里建议安卓用户尽快升级系统的固件,从而防止手机受到攻击。