当前位置:安全行业动态 → 正文

Android MediaProjection 服务被曝高危漏洞

责任编辑:editor004 |来源:企业网D1Net  2017-11-22 11:21:07 本文摘自:E安全

网络安全公司 MWR 的研究团队近期发现Android MediaProjection服务存在一处高危漏洞,允许黑客窃听系统音频、截取用户屏幕等敏感信息。目前,运行 Lolipop、Marshmallow 和 Nougat 应用的 Android 设备普遍遭受影响(约占所有 Android 设备的 77.5%)。

MediaProjection 是一项允许应用程序捕获屏幕、记录系统音频的服务,其自推出以来就存在于 Android 系统当中。不过,要想使用这一服务功能,其应用程序需要在线发出请求后通过 SystemUI 弹出窗口获取 root 访问权限,并使用设备的系统密钥进行签名。据悉,虽然 MediaProjection 早期仅供 Android OEM 开发的系统级应用程序使用,但随着 Android Lolipop(5.0)的发布,Google 向所有应用开放了这项服务。

调查显示,此漏洞的根源在于易受攻击的 Android 设备不能检测部分隐藏的 SystemUI 弹出窗口机制,即攻击者可以在开发一款应用程序时覆盖 SystemUI 的弹出,从而绕过安全检测。一旦用户点击已被覆盖的页面后攻击者即可获取 root (包括捕获用户屏幕和音频的)权限。研究人员强调,黑客利用该漏洞开展攻击时并非完全无法察觉。如果一款应用访问 MediaProjection 服务时,它会在生成一个虚拟显示,从而自动激活通知栏中的截图图标后获取用户信息。如下图所示:

Android MediaProjection 服务被曝高危漏洞,黑客可窃听系统音频、截取屏幕信息-E安全

目前,Google 仅在 Android Oreo Android Oreo(8.0)版本中修补了漏洞,但旧版本仍受到该问题的影响。另外,尚不清楚 Google 是否计划针对较早受影响的 Android 版本进行修复,对此研究人员提醒用户尽快更新设备或通过应用程序的 WindowManager 中启用 FLAG_SECURE 参数,以便确保应用程序的界面安全。

关键字:Android应用程序

本文摘自:E安全

x Android MediaProjection 服务被曝高危漏洞 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

Android MediaProjection 服务被曝高危漏洞

责任编辑:editor004 |来源:企业网D1Net  2017-11-22 11:21:07 本文摘自:E安全

网络安全公司 MWR 的研究团队近期发现Android MediaProjection服务存在一处高危漏洞,允许黑客窃听系统音频、截取用户屏幕等敏感信息。目前,运行 Lolipop、Marshmallow 和 Nougat 应用的 Android 设备普遍遭受影响(约占所有 Android 设备的 77.5%)。

MediaProjection 是一项允许应用程序捕获屏幕、记录系统音频的服务,其自推出以来就存在于 Android 系统当中。不过,要想使用这一服务功能,其应用程序需要在线发出请求后通过 SystemUI 弹出窗口获取 root 访问权限,并使用设备的系统密钥进行签名。据悉,虽然 MediaProjection 早期仅供 Android OEM 开发的系统级应用程序使用,但随着 Android Lolipop(5.0)的发布,Google 向所有应用开放了这项服务。

调查显示,此漏洞的根源在于易受攻击的 Android 设备不能检测部分隐藏的 SystemUI 弹出窗口机制,即攻击者可以在开发一款应用程序时覆盖 SystemUI 的弹出,从而绕过安全检测。一旦用户点击已被覆盖的页面后攻击者即可获取 root (包括捕获用户屏幕和音频的)权限。研究人员强调,黑客利用该漏洞开展攻击时并非完全无法察觉。如果一款应用访问 MediaProjection 服务时,它会在生成一个虚拟显示,从而自动激活通知栏中的截图图标后获取用户信息。如下图所示:

Android MediaProjection 服务被曝高危漏洞,黑客可窃听系统音频、截取屏幕信息-E安全

目前,Google 仅在 Android Oreo Android Oreo(8.0)版本中修补了漏洞,但旧版本仍受到该问题的影响。另外,尚不清楚 Google 是否计划针对较早受影响的 Android 版本进行修复,对此研究人员提醒用户尽快更新设备或通过应用程序的 WindowManager 中启用 FLAG_SECURE 参数,以便确保应用程序的界面安全。

关键字:Android应用程序

本文摘自:E安全

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^