生活

<p>根据MWR实验室的说法,目前使用的绝大多数Android智能手机都容易受到攻击,这种攻击可能导致黑客劫持智能手机并记录系统音频和一个人的屏幕活动</p><p>已发现运行多种版本操作系统(包括Lollipop,Marshmallow和Nougat)的Android智能手机和平板电脑容易受到攻击 - 这意味着超过77%的Android设备都面临风险</p><p>该漏洞源于名为MediaProjection的Android服务,该服务提供捕获屏幕操作和录制系统音频的功能</p><p>该服务自最初的迭代以来一直存在于Android操作系统中,用于任何数量的合法目的,但在更新版本的Android中被开放利用</p><p>在推出Android Lollipop(操作系统5.0版)之前,为了让应用程序使用MediaProjection,它需要具有对设备的root访问权限</p><p>在Android的更新版本中,对提升对MediaProjection服务的访问权限的限制被取消,允许任何应用程序使用它 - 并且无需先获得用户的许可即可</p><p>打算使用MediaProjection代替root访问要求或标准Android权限结构,必须通过系统服务请求访问,该系统服务会生成弹出窗口,通知用户应用程序想要捕获屏幕和系统音频</p><p>通常这样的消息会引起用户的注意,但安全研究人员发现攻击者可以对应用程序进行编程,以检测弹出窗口何时出现在屏幕上并通过创建自己的弹出窗口来对抗它,该弹出窗口在系统消息的顶部显示其他文本</p><p>这种被称为“tap-jacking”的技术会诱使用户同意记录他们的屏幕和系统音频,因为他们从未看到过实际的警告 - 只是攻击者创建的无害文本隐藏Android系统弹出窗口</p><p>研究人员警告说,受影响的Android版本无法检测到系统提供的弹出消息何时被另一条消息遮挡</p><p>由于该警告是用户阻止应用程序使用MediaProjection的唯一机制 - 无法更改设置以防止服务被使用 - 恶意攻击者很容易在用户不知情的情况下执行侵入性活动</p><p> “SystemUI弹出窗口是唯一可用于防止滥用MediaProjection服务的访问控制机制,”安全研究人员写道</p><p> “攻击者可以通过使用公知的方法使用tapjacking这个弹出窗口来授予他们的应用程序捕获用户屏幕的能力,从而轻易绕过这种机制</p><p>”对于潜在的侵入性攻击,Android用户有一些好消息:公司修复了Android Oreo(版本8.0)中MediaProjection的权限结构,以防止攻击者利用它</p><p>坏消息是操作系统的旧版本将无法获得修复漏洞的更新,这意味着用户可以自行防范漏洞</p><p>对于仍然容易受到攻击的Android用户,可以通过关注通知栏来捕获应用程序以记录屏幕</p><p>如果某个应用正在录制音频或屏幕活动,