(轉載) Android 新保安漏洞近八成用戶受影響

cityplus · 發表於 2017-11-22 13:53:06

大家小心啲啦!!!

Android 這個系統平台，似乎每隔一段時間就爆出有保安漏洞的消息，如「C&D」病毒、藏有 Ztorg 木馬毒的 Android apps 等等。今次 Android 的新漏洞來自系統的「MediaProjection」功能，由於此服務的存取權限至《Android 5.0》以後，才開放給開發人員，預計今次受影響的 Android 用戶達 78.7%！？

Google 雖然不停推出新的《Android》系統，但能真正獲享最新版本系統的用戶並不多，令不少《Android》用戶仍停留在舊版本的《Android》。今次 Android 新的保安漏洞，由保安公司 MWR InfoSecurity 發現，11 月中正式向外公布，受影響的用戶主要至《Android 5.0》至《Android 7.1》的用戶，遍及手機及平板電腦等 Android 裝置。若以 Google Dashboard 官方資料顯示 (11 月 9 日為例)，使用《Android 5.0》至《Android 7.1》的用戶達 78.7% (MWR InfoSecurity 則使用 10 月 2 日的數據，因此受影響用戶為 77.8%)，意味這近八成的 Android 用戶，有機會被駭客利用該 Android 安全漏洞，向有關用戶發動攻擊。

今次《Android》新的保安漏洞來自《Android 5.0》版本以後，向 Android App 開發人員開放的 MediaProjection 媒體播放功能的存取權限。駭客藉此漏洞，可以不用得到用戶的授權，透過 SystemUI 自動跳出的信息提示，誘使用戶按「OK」。用戶一旦按下，駭客便可以遠端控制用戶的 Android 裝置，存取裝置內的螢幕影像內容及聲音檔案。

那麼如何避免？從 MWR InfoSecurity 的資料顯示，由年初發現相關問題，及跟 Google 通報的 Disclosure Timeline 可見，於 2017 年 8 月，Google 已經在《Android 8.0》上修復這項漏洞。即用戶若已收到《Android 8.0》的更新推送，還是建議更新至《Android 8.0》。若未收到相關更新怎辦？也有方法可以提高免中招的機會，相關攻擊必須透過用戶按「OK」才成功，對於來歷不明的自動信息提示，不要胡亂按「OK」，必須確定相關來源，其中 MWR InfoSecurity 便示範一些例子，大家可以作為參考。

Source: 英文版