安全研究人员来自MRW实验室我们发现黑客可以创建恶意应用程序,可以轻松访问 Android 智能手机上的麦克风并捕获屏幕。为此,只需使用自 Android 5.0 以来就存在的 MediaProjection 服务。
以前,想要访问这些资源的移动应用程序必须具有管理员(root)权限。随着 MediaProjection 的出现,情况不再如此。用户只需通过警报窗口就该访问进行通知。
问题是黑客可以在系统意识到的情况下覆盖整个或部分其他窗口。用户受到欺骗,认为他正在验证一条微不足道的消息,而实际上他正在授权访问敏感资源。下面是一个例子。
去年 7 月,谷歌收到 MWR Labs 的提醒,于 8 月发布了补丁,但仅适用于 Android 8.0 (Oreo)。系统版本 5、6 和 7 仍然容易受到此攻击。根据去年11月份的统计数据因此,78.7% 的 Android 设备受到此安全风险的影响。
建议用户尽快升级操作系统。不幸的是,这并不总是可行,因为由制造商和运营商管理的更新并不总是可用。在这种情况下,您必须格外小心,最重要的是,不要下载有问题的应用程序。
