小心Android漏洞讓駭客盜錄你的手機螢幕
研究人員發現在Android 5.0之後的MediaProjection存在漏洞,app
開發商不需根權限或系統金鑰簽章就能蒐集用戶手機螢幕畫面,目前
僅有Android 8.0修補漏洞,將近8成的Android用戶曝露於個人隱私
外洩的風險。
文/林妍溱 | 2017-11-20發表
安全研究公司發現Android媒體播放功能有漏洞, 可能讓用戶手機螢
幕被外人盜錄而不自知。
這項漏洞出現在Android 5.0後加入Android Framework的
MediaProjection服務之中。 首先發現漏洞的安全公司MWR
InfoSecurity指出,在Android 5.0版之前,app需要具備根權限或是
以系統金鑰簽章, 才能利用錄製螢幕上播放的影像,但5.0之後的
MediaProjection則讓Android app開發商在無需上述條件下,就能蒐
集用戶的螢幕內容, 或錄下系統聲音。此外,使用MediaProjection
服務在AndroidManifest.xml上也無需宣告。
要使用MediaProjection服務時,app只需透過Intent呼叫存取這項系
統服務,而要存取該服務,則只要以一個 SystemUI提示訊息,警告
使用者呼叫該app可能錄製使用者螢幕畫面功能即可。因此,攻擊者
只要在這則SystemUI警告訊息之上覆蓋任意訊息,就能誘騙使用者按
下「OK」 而同意錄製。
由於Android中並沒有針對使用該API專用的核准, 因此無法判斷app
是否使用了MediaProjection服務。要是攻擊者的app能偵測
SystemUI 提示訊息,然後上面覆蓋一則掩人耳目的訊息, 威脅就更
大了。
目前只有Android 8.0已修補該漏洞, 因此最有效的解決之道是用戶
儘速升級到最新版。然而Android陣營向來升級腳步緩慢,因此可以
想見大量Android裝置正曝露於風險中。截止Google統計,安裝最新
版Android作業系統的裝置僅佔0.3%,而安裝Android 5.0到7.1的比
例高達78.7%。
除了用戶方面升級外,研究人員也建議,app開發商可以在
WindowsManager中啟動FLAG_SECURE參數, 可確保app視窗內容不得
被螢幕擷圖,或是在不安全環境下顯示。
https://www.ithome.com.tw/news/118397
這個漏洞直到最新版本的Oreo才修補欸,那這下可慘了,我的手機還停留在7.0
這真是令人沮喪的一件事情,我的手機恐怕也暴露於危險之中!
所以如果你的手機還沒有修補這個問題的話,記得什麼同意的東西不要亂按才好
否則隱私就洩光光了,當然如果你覺得你的個資本身不值錢就沒差啦
希望Google要趕快處理這個問題,因為肯定有很多手機是無法升級最新版本的
督促廠商提供更新解決這個問題才是更重要的吧?