سوء‌استفاده از سرویس اندرویدی برای ضبط صدا


1396/09/22

یکی از آسیب‌پذیری‌های اندروید به برنامه‌نویسان اجازه می‌دهد محتوای صفحه نمایش دستگاه اندرویدی را رصد کرده و صداها را ضبط کنند و طبق آمار، سه‌چهارم از دستگاه‌های اندرو



یکی از آسیب‌پذیری‌های اندروید به برنامه‌نویسان اجازه می‌دهد محتوای صفحه نمایش دستگاه اندرویدی را رصد کرده و صداها را ضبط کنند و طبق آمار، سه‌چهارم از دستگاه‌های اندرویدی فعال فعلی، تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.
به گزارش ایسنا، گوشی‌های هوشمند اندرویدی با سیستم عامل لالی‌پاپ، مارشمالو و نوقا، نسبت به حمله‌ای که از سرویس مدیا پروجکشن‌ (MediaProjection) سوء‌استفاده می‌کند، آسیب‌پذیر هستند. مدیا پروجکشن یکی از سرویس‌های اندروید است که قادر به دریافت محتویات صفحه نمایش و ضبط صدای سیستم است.
این حفره همزمان با عرضه نسخه اندروید ۵.۰ لالی‌پاپ معرفی شد. این چارچوب به برنامه‌نویسان اجازه می‌دهد محتوای صفحه نمایش دستگاه اندرویدی را رصد کرده و صداها را ضبط کنند. پیش از عرضه این نسخه از اندروید، اپلیکیشن‌های ضبط نمایشگر به دسترسی روت یا کلیدهای مخصوص احتیاج داشتند.
طبق آمار به دست‌ آمده از توزیع این دستگاه‌ها در بازار، ۷۷.۵ درصد (سه‌چهارم) از تمام دستگاه‌های اندرویدی فعال فعلی، تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.
با انتشار اندروید لالی‌پاپ، گوگل این سرویس را بدون نیاز به مجوزی که برنامه‌های کاربردی پیش از نصب از کاربر درخواست می‌کنند، در اندروید قرار داد. آگاهی از همین موضوع باعث شد تا برنامه‌ها از طریق یک «تماس عمدی»، دسترسی به این سرویس سیستمی را درخواست کنند. این تماس عمدی و استفاده از سرویس، یک پنجره پاپ‌آپ SystemUI را به کاربر نشان می‌دهد که هنگام گرفتن عکس از صفحه و ضبط صدای سیستم توسط برنامه، به کاربر هشدار می‌داد.
با توجه به اطلاعات وب‌سایت مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) در اوایل زمستان سال گذشته (۲۰۱۶)، محققان امنیتی آزمایشگاه MWR کشف کردند که مهاجم می‌تواند زمان ظاهر شدن پنجره SystemUI را شناسایی کند. با دانستن این زمان، مهاجمان می‌توانند پنجره دلخواهی را روی آن نشان دهند و متن آن را با پیام دیگری مخفی کنند.
روش ضربه-سرقت برای سرقت صفحه کاربران
این روش به نام ضربه-سرقت شناخته شده است و چندین سال است که توسط توسعه‌دهندگان بدافزار اندروید مورد استفاده قرار می‌گیرد. در این روش، مهاجمان ضربات کاربر روی صفحه را به سرقت می‌برند و از آنها برای رسیدن به هدف مورد نظر خود استفاده می‌کنند. این روش زمان ارائه مجوز به اپلیکیشن (برنامه نرم‌افزاری) جهت ضبط محتوای نمایشگر، می‌تواند کاربران را فریب داده و یا حتی در صورت نمایش پیغام، چیز کاملا متفاوتی به آنها بگوید.
برنامه‌ای که از ساختار مدیا پروجکشن استفاده می‌کند، به صورت معمول، درخواست دسترسی به آن را از طریق نمایش پیغامی روی نمایشگر دستگاه به کاربر اعلام می‌کند و تنها پس از آن، فریم‌ورک به برنامه اجازه ضبط محتویات نمایشگر را خواهد داد. این حفره امنیتی، مهاجمان و هکرها را قادر می‌سازد تا روی پیامی که در شرایط عادی از سوی مدیا پروجکشن برای ضبط محتوا صادر می‌شود، سرپوش بگذارند.
گروه تحقیقاتی MWR در گزارش خود توضیح داده که علت اصلی این آسیب‌پذیری این واقعیت است که نسخه‌های اندرویدی که تحت تاثیر آن قرار می‌گیرند، قادر به تشخیص پنجره‌های پنهان‌شده نیستند. همین موضوع به مهاجم اجازه می‌دهد تا برنامه‌ای کاربردی ایجاد کند که می‌تواند یک هم‌پوشانی تولید کند. این هم‌پوشانی منجر به افزایش مجوزهای برنامه می‌شود و اجازه دریافت صفحه نمایش کاربر را به مهاجم می‌دهد.
گوگل این آسیب‌پذیری را در پاییز امسال در سیستم عامل اندروید با انتشار اندروید۸.۰ اورئو برطرف کرده است؛ اما نسخه‌های قدیمی‌تر اندروید همچنان آسیب‌پذیر هستند. هنوز مشخص نیست که آیا گوگل قصد دارد این آسیب‌پذیری را نیز برای نسخه‌های قدیمی‌تر آسیب‌پذیر اندروید حل کند یا خیر، به همین دلیل کاربران باید دستگاه‌های خود را به‌روز کرده و نسبت به دانلود و نصب برنامه‌ها با احتیاط بیشتر برخورد کنند.
محققان تاکید کردند حمله‌ای که از این نقص سوء‌استفاده می‌کند، کاملا غیرقابل شناسایی نیست. هنگامی که یک برنامه کاربردی، دسترسی به سرویس مدیا پروجکشن را به دست می‌آورد، یک نمایش مجازی ایجاد می‌کند که آیکون Screencast را در نوار اعلان فعال می‌کند.
گروه تحقیقاتیMWR همچنین راه‌حلی برای توسعه‌دهندگان نرم‌افزار اندروید ارایه داده است که می‌تواند این مساله از طریق WindowManager را حل کند. این راه‌حل اطمینان می‌دهد که محتوای پنجره‌های برنامه‌های کاربردی، امن محسوب می‌شوند و مانع از نمایش آن در تصاویر یا مشاهده در نمایش‌های ناامن می‌شود.

مشخصات
نام و نام خانوادگی
ایمیل یا شماره تماس
کد امنیتی

آغاز رجیستری گوشی های "ال جی" از شنبه

گوشی‌های برند ال جی به عنوان پنجمین برند از فردا مشمول طرح رجیستری می‌شوند. دارندگان فروشندگان و خریداران گوشی‌های این برند باید به چند نکته مهم توجه کنند. به گزارش فارس، گوشی‌

وزیر ارتباطات: فناوری ADSL در حال انقراض است/ مردم بدون فضای مجازی نمی‌توانند زندگی کنند

وزیر ارتباطات و فناوری اطلاعات : بحث ارتباطات ثابت یعنی ADSL در دنیا درحال انقراض است زیرا بسیاری از کشورها در حال حرکت به سوی VDSL و FTTH هستند.  به گزارش خبرگزاری صدا و سیما ، محمدجواد آذری

80 درصد کاربران اینترنت در کشور عضو شبکه های اجتماعی هستند

معاون مرکز فناوری اطلاعات و رسانه های دیجیتال وزارت فرهنگ و ارشاد اسلامی گفت: 80 درصد کاربران اینترنت کشور عضو شبکه های اجتماعی عمدتا شامل تلگرام و اینستاگرام هستند. به گزارش ایرنا، حمید ضیایی پرو

سرمایه‌گذاری 20 هزار میلیارد تومانی دولت برای توسعه فناوری اطلاعات/ آذری جهرمی: از 100 میلیون گوشی موجود در کشور 60 میلیون گوشی هوشمند است

وزیر ارتباطات گفت: سرمایه گذاری انجام شده باعث شد تا هم اکنون در کشور از نظر تعداد کاربران اینترنت همراه در میان منطقه بی نظیر هستیم و ضریب نفوذ تلفن همراه توسعه چشمگیری یافته است. محمدجواد آذری ج

قابلیت جدید اینستاگرام برای حفظ حریم شخصی کاربران

اینستاگرام از این پس به منظور ارتقاء و حفظ حریم شخصی کاربرانش، گرفتن اسکرین شات از استوری‌های کاربران را به آنها گزارش می‌دهد. به گزارش ایسنا، به نقل از وب سایت سی نت، استوری‌های ای

زاکربرگ اشتباهاتش را برشمرد

مارک زاکربرگ در چهاردهمین سالگرد تاسیس فیسبوک ماجرای رشد این پلتفرم و اشتباهاتی را که تاکنون مرتکب شده شرح داده است. وی در پستی که به همین مناسبت منتشر کرده بدون ذکر مثالی مشخص از عباراتی نظیر &la

کاربران آیفون 10 با چه مشکلاتی مواجه‌اند؟

اپل به تازگی ضمن تایید مشکلات آیفون ۱۰، اعلام کرده که در حال بررسی و حل مشکلاتی است که کاربران این گوشی جدید و پرچمدار از آن شکایت داشته‌اند. به گزارش ایسنا، به نقل از وب سایت forbes، از زمان

ورود تسلا به مسابقات اتومبیلرانی (+عکس)

FIA، هیئت حاکم موتوراسپرت بین المللی در هفته جاری EPCS (مسابقات خودروهای بدون آلایندگی) را تایید کرد. در این رقابت ها نسخه مخصوص مسابقه از مدل S P100D تسلا نیز حضور خواهد یافت که قدرت 778 اسب بخار

سامسونگ نقشی در ندادن گوشی به ورزشکاران ایران نداشته

سامسونگ نقشی در ندادن گوشی به ورزشکاران ایران نداشت است. یک منبع مطلع به # عصرخبر گفت: «سامسونگ ۴ هزار گوشی نسخه ویژه بازی‌های المپیک پیونگ‌چانگ ۲۰۱۸ را در اختیار کمیته بین‌ا

موشک فالکون هِوی از پایگاه فضایی کندی در آمریکا به مریخ پرتاب شد(+عکس)

سرانجام پس از مدت‌ها انتظار، موشک فالکون هِوی از پایگاه فضایی کندی در آمریکا به سوی مریخ پرتاب شد. این موشک سه هسته‌ای ماشین مالک شرکت اسپیس ایکس (۲۰۰۸ cherry red Tesla Roadster)، ایلان

مطالب سایت

تمامی اخبار دانش نیوز بدون دخالت انسانی و توسط موتورهای جستجوگر جمع آوری میشود و دانش نیوز در قبال محتوای اخبار هیچ مسئولیتی ندارد.
Royal Oriental iranien Restaurant Geneva