JavaRush /Blogue Java /Random-PT /Ataque em smartphones Android dirá o que você está assist...

Ataque em smartphones Android dirá o que você está assistindo por lá

Publicado no grupo Random-PT
O que você está fazendo aí no seu smartphone? Os invasores descobrirão todos os seus segredos com a ajuda de um novo ataque e um bug antigo no Android! Especialistas em segurança do MWR Labs relataram um ataque a smartphones Android rodando versões Lolipop, Marshmallow e Nougat OS.
Um ataque a smartphones Android dirá o que você está assistindo lá - 1
O ataque foi realizado aproveitando um bug antigo do serviço MediaProjection, criado para capturar a tela do usuário e gravar som. MediaProjection existe no Android desde o início, mas costumava exigir acesso root ou assinatura de uma chave de ativação do dispositivo para usá-lo. Com o lançamento do Android Lolipop 5.0, a situação mudou. O Google tornou o serviço aberto a todos, e o aplicativo passou a simplesmente solicitar acesso ao sistema usando “chamada intel” – uma notificação pop-up de aviso do SystemUI. Os especialistas do MWR Labs descobriram que no momento da solicitação de permissão para acessar a tela e o vídeo, os invasores sobrepuseram uma janela com um texto de notificação diferente. Esse esquema possibilitou capturar a tela do usuário caso ele tocasse na janela pop-up do SystemUI, que exibia uma mensagem arbitrária. Essa técnica é chamada de tapjacking e os criminosos a utilizam há muitos anos. “Esta vulnerabilidade é causada por versões afetadas do Android que não percebem essas notificações falsas do SystemUI”, explicam os pesquisadores. “Isso permite que um invasor crie um aplicativo que irá sobrepor as notificações do SystemUI, resultando no aumento dos privilégios do aplicativo e permitindo ao usuário capturar a imagem da área de trabalho do usuário.” Até o momento, o problema foi corrigido apenas em aparelhos baseados no Android Oreo (8.0), mas especialistas já trabalham na segurança de gadgets com versões anteriores do sistema operacional.
Comentários
TO VIEW ALL COMMENTS OR TO MAKE A COMMENT,
GO TO FULL VERSION