Android用户要注意了,现在一个存在于MediaProjection功能服务中的新漏洞已被曝出。利用该Android系统新漏洞,攻击者可以记录终端设备的声音和屏幕活动。由于此次的Android系统新漏洞存在于Android 5.0 系统版本以上,且又是存在于系统内的功能服务,影响范围相当广泛,推测全球有近八成的Android 用户均受到此漏洞的威胁,在不知情的情况下,个资隐私暴露在恐遭外泄的风险中。 Android系统新漏洞曝光:可记录声音和屏幕活动 图1 据该资安公司调查指出,这项新的漏洞存在于Android 系统服务内一项名为「 MediaProjection 」媒体播放功能,属于系统级服务,主要是可用来搜集用户设备上的屏幕影像内容、声音等资讯。由于Google在Android 5.0版本之后,向所有Android App开发人员开放这项系统服务的存取权限;也就是说,这项Android系统新漏洞可以直接在不需要取得用户授权之下,因此很有可能在不知情的情况下,让黑客利用此存在于「 MediaProjection 」的安全漏洞发动攻击行动,透过SystemUI 自动跳出的讯息提示,诱导用户按下「OK」同意按钮,借此从远端控制手机或平板设备,并存取用户装置的屏幕影像内容与声音档案。 据了解,现在仅有Android 8.0系统有针对此漏洞进行修补。若现在运用的Android装置,已收到系统更新至Android 8.0的推送,务必要尽快更新到最新的系统版本。 Android系统新漏洞曝光:可记录声音和屏幕活动 图2 另,该资安公司研究人员也建议App开发商,可透过WinManager 启动 FLAG_SECURE参数,以确保App视窗内容不被屏幕截图,或在不安全环境下显示 |