به گزارش ایسنا، گوشیهای هوشمند اندرویدی با سیستم عامل لالیپاپ، مارشمالو و نوقا، نسبت به حملهای که از سرویس مدیا پروجکشن (MediaProjection) سوءاستفاده میکند، آسیبپذیر هستند. مدیا پروجکشن یکی از سرویسهای اندروید است که قادر به دریافت محتویات صفحه نمایش و ضبط صدای سیستم است. این حفره همزمان با عرضه نسخه اندروید ۵.۰ لالیپاپ معرفی شد.
با انتشار اندروید لالیپاپ، گوگل این سرویس را بدون نیاز به مجوزی که برنامههای کاربردی پیش از نصب از کاربر درخواست میکنند، در اندروید قرار داد. آگاهی از همین موضوع باعث شد تا برنامهها از طریق یک «تماس عمدی»، دسترسی به این سرویس سیستمی را درخواست کنند. این تماس عمدی و استفاده از سرویس، یک پنجره پاپآپSystemUI را به کاربر نشان میدهد که هنگام گرفتن عکس از صفحه و ضبط صدای سیستم توسط برنامه، به کاربر هشدار میداد.
مدیران مرکز ماهر نیز عنوان کردند مهاجم میتواند زمان ظاهر شدن پنجره SystemUI را شناسایی کند و با دانستن آن، پنجره دلخواهی را روی آن نشان دهند و متن را با پیام دیگری مخفی کنند. این روش به نام ضربه-سرقت شناخته شده است. این روش می تواند کاربران را هنگام ارائه مجوز به اپلیکیشن (برنامه نرمافزاری) جهت ضبط محتوای نمایشگر، فریب داده و یا حتی در صورت نمایش پیغام، چیز کاملا متفاوتی به آنها بگوید.
گوگل این آسیبپذیری را در پاییز امسال در سیستم عامل اندروید با انتشار اندروید۸.۰ اورئو برطرف کرده است؛ اما نسخههای قدیمیتر اندروید همچنان آسیبپذیر هستند. هنوز مشخص نیست که آیا گوگل قصد دارد این آسیبپذیری را برای نسخههای قدیمیتر آسیبپذیر اندروید نیز حل کند یا خیر، به همین دلیل کاربران باید دستگاههای خود را بهروز کرده و نسبت به دانلود و نصب برنامهها با احتیاط بیشتر برخورد کنند.
- 12
- 3
