Android新漏洞出现 可以录屏 记录声音

886k8.com凯发网址

2018-11-09

  Android用户要注意了,现在一个存在于MediaProjection功能服务中的新漏洞已被曝出。

利用该漏洞,攻击者可以记录终端设备的声音和屏幕活动。

预估约有%的Android设备受此漏洞影响。 Android曝出新漏洞可记录声音和屏幕活动  MediaProjection是一个自从推出以来就存在于Android中的系统级服务,负责屏幕采集,但是为了使用它,应用程序需要具有访问权限,并且必须使用设备的系统密钥进行签名。 这就在早期限制了MediaProjection仅针对于AndroidOEM们开发的系统级应用程序而使用。   但随着AndroidLolipop()的发布,Google向所有人开放了这项服务。 这就让AndroidAPP开发商无需拥有上述权限或用户授权,即可收集用户的屏幕内容,或记录系统声音。   问题在于,要使用MediaProjection服务时,APP只需通过intent来调用系统的录屏程序,便会触发一个SystemUI的弹出窗口,来提示用户该APP正在使用录屏功能。 不过此时攻击者就可以在SystemUI弹出窗口上覆盖任意信息界面,来诱导用户同意,进而录制屏幕活动。   由于SystemUI弹出窗口是防止滥用MediaProjection服务的唯一访问控制机制,因此,攻击者就能够轻松绕过此机制来劫持该弹窗机制,从而获得录屏授权,所以安全威胁较大。

  据悉,目前只有为该漏洞打了补丁,大量Android设备仍然面临着安全威胁,建议安卓用户尽快升级系统固件吧。

此外,APP开发商也可以在WindowsManager中启动FLAG_SECURE参数,来确保APP界面内容不被屏幕截图,或是在不安全环境下显示。