Android这个系统平台,似乎每隔一段时间就爆出有安保漏洞的消息,如「C&D」病毒、藏有Ztorg木马毒的Android apps等等。今次Android的新漏洞来自系统的「MediaProjection」功能,由于此服务的存取权限至《Android 5.0》以后,才开放给开发人员,预计今次受影响的Android用户达78.7%!?
Google虽然不停推出新的《Android》系统,但能真正获享最新版本系统的用户并不多,令不少《Android》用户仍停留在旧版本的《Android》。今次Android新的安保漏洞,由保安公司MWR InfoSecurity发现,11月中正式向外公布,受影响的用户主要至《Android 5.0》至《Android 7.1》的用户,遍及手机及平板电脑等Android装置。若以Google Dashboard官方资料显示(11月9日为例),使用《Android 5.0》至《Android 7.1》的用户达78.7% (MWR InfoSecurity则使用10月2日的数据,因此受影响用户为77.8%),意味这近八成的Android用户,有机会被黑客利用该Android安全漏洞,向有关用户发动攻击。
今次《Android》新的保安漏洞来自《Android 5.0》版本以后,向Android App开发人员开放的MediaProjection媒体播放功能的存取权限。黑客藉此漏洞,可以不用得到用户的授权,通过SystemUI自动跳出的信息提示,诱使用户按「OK」。用户一旦按下,骇客便可以远端控制用户的Android装置,存取装置内的萤幕影像内容及声音档桉。
那麽如何避免?从MWR InfoSecurity的资料显示,由年初发现相关问题,及跟Google通报的Disclosure Timeline可见,于2017年8月,Google已经在《Android 8.0》上修复这项漏洞。即用户若已收到《Android 8.0》的更新推送,还是建议更新至《Android 8.0》。若未收到相关更新怎办?也有方法可以提高免中招的机会,相关攻击必须透过用户按「OK」才成功,对于来历不明的自动信息提示,不要胡乱按「OK」,必须确定相关来源,其中MWR
InfoSecurity便示范一些例子,大家可以作为参考。
网友评论