JavaRush /Блог /Android /Атака на Android-смартфоны расскажет, что вы там смотрите...

Атака на Android-смартфоны расскажет, что вы там смотрите

Статья из группы Android
Чем вы там занимаетесь на своем смартфоне? Злоумышленники узнают все ваши секреты с помощью новой атаки и старого бага в Android! Специалисты безопасности MWR Labs сообщили об атаке на Android-смартфоны с версиями ОС Lolipop, Marshmallow и Nougat.
Атака на Android-смартфоны расскажет, что вы там смотрите  - 1
Атаку осуществили, воспользовавшись старым багом в службе MediaProjection, созданной для захвата экрана пользователя и записи звука. Сервис MediaProjection существовал в Android с самого начала, но раньше для его использования был необходим root-доступ или подпись ключа активации устройства. С выпуском Android Lolipop 5.0 ситуация изменилась. Google сделала сервис открытым для всех, и приложение стало просто запрашивать доступ к системе помощью «intel call» — предупреждающего всплывающего уведомления SystemUI. Специалисты MWR Labs обнаружили, что в момент запроса на разрешение доступа к экрану и видео, злоумышленники накладывали на него окно с другим текстом уведомления. Такая схема позволила захватывать экран пользователя, если он коснется всплывающего окна SystemUI, на котором отображается произвольное сообщение. Подобную технику называют tapjacking, и преступники используют ее уже много лет. «Данная уязвимость вызвана тем, что подверженные проблеме версии Android не замечают такие поддельные уведомления SystemUI, — поясняют исследователи. — Это позволяет атакующему создать приложение, которое будет накладывать оверлей поверх уведомлений SystemUI, что в результате приведет к эскалации привилегий приложения и позволит захватывать изображение с рабочего стола пользователя». Пока проблема устранена только в устройствах на базе Android Oreo (8.0), но специалисты уже работают над безопасностью гаджетов с более ранними версиями операционной системы.
Комментарии
ЧТОБЫ ПОСМОТРЕТЬ ВСЕ КОММЕНТАРИИ ИЛИ ОСТАВИТЬ КОММЕНТАРИЙ,
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ