信息來源：企業(yè)網(wǎng)

Android用戶要注意了，現(xiàn)在一個存在于MediaProjection功能服務中的新漏洞已被曝出。利用該漏洞，攻擊者可以記錄終端設備的聲音和屏幕活動。預估約有77.5%的Android設備受此漏洞影響。

Android曝出新漏洞 可記錄聲音和屏幕活動

MediaProjection是一個自從推出以來就存在于Android中的系統(tǒng)級服務，負責屏幕采集，但是為了使用它，應用程序需要具有root訪問權限，并且必須使用設備的系統(tǒng)密鑰進行簽名。這就在早期限制了MediaProjection僅針對于Android OEM們開發(fā)的系統(tǒng)級應用程序而使用。

但隨著Android Lolipop（5.0）的發(fā)布，Google向所有人開放了這項服務。這就讓Android APP開發(fā)商無需擁有上述權限或用戶授權，即可收集用戶的屏幕內容，或記錄系統(tǒng)聲音。

問題在于，要使用MediaProjection服務時，APP只需通過intent來調用系統(tǒng)的錄屏程序，便會觸發(fā)一個SystemUI的彈出窗口，來提示用戶該APP正在使用錄屏功能。不過此時攻擊者就可以在SystemUI彈出窗口上覆蓋任意信息界面，來誘導用戶同意，進而錄制屏幕活動。

由于SystemUI彈出窗口是防止濫用MediaProjection服務的唯一訪問控制機制，因此，攻擊者就能夠輕松繞過此機制來劫持該彈窗機制，從而獲得錄屏授權，所以安全威脅較大。

目前只有Android 8.0針對該漏洞打了補丁

據(jù)悉，目前只有Android 8.0為該漏洞打了補丁，大量Android設備仍然面臨著安全威脅，建議安卓用戶盡快升級系統(tǒng)固件吧。此外，APP開發(fā)商也可以在WindowsManager中啟動FLAG_SECURE參數(shù)，來確保APP界面內容不被屏幕截圖，或是在不安全環(huán)境下顯示。