BUG DE ANDROID PERMITE CAPTURAR LA PANTALLA Y GRABAR AUDIO

Todos los dispositivos Android entre la version 5.0 y 7.1.2 se ven afectados por la vulnerabilidad en MediaProjection que permite a un atacante capturar la pantalla del usuario y grabar el audio.

Desde la versión Android 5.0 Google introdujo el servicio MediaProjection para dar a los desarrolladores la capacidad de la pantalla y grabar audio, que ya no necesitan privilegios de root o para firmar sus llaves de liberación.
Una ventana emergente aparece a los usuarios de SystemUI que solicitan el permiso de que su pantalla es capturado, el hackeo de este atacante para capturar la pantalla del usuario si el usuario del grifo de la SystemUI emergente se ha superpuesto por el atacante con un mensaje de advertencia arbitraria.
Los investigadores del laboratorio de MWR descubrió esta vulnerabilidad y la causa principal de la vulnerabilidad debido a parcialmente a ventanas emergentes SystemUI, que las versiones de Android incapaz de detectar.

Este bug es parcheado en la Versión 8.0

MWR laboratorio de aconseja a los desarrolladores para defender el ataque permitir el parametro de diseño FLAG_SECURE de la aplicación gestor de ventanas.

Se informo a google de la vulnerabilidad y en la actualidad, se ha parcheado con la versión 8.0, las versiones más bajas siguen siendo vulnerable.

Los investigadores dijeron que de acuerdo con los desarrolladores de Google Android aproximadamente 77,5% dispositivos Android activos son vulnerables a este ataque.
Recientemente supimos del ataque Toast Overlay que afecta a todas las versiones de Android 8.0 Salvo. Permite que un atacante para dibujar en la parte superior de otras ventanas y aplicaciones que se ejecutan en el dispositivo afectado. Con este asalto superposición recientemente descubierto no requiere un permiso o condiciones particulares a ser convincente.

Y el ataque potencial Cloak & Dagger que permite una aplicación maliciosa controlar por completo el ciclo de retroalimentación de interfaz de usuario y controla el dispositivo, sin dar al usuario la oportunidad de observar la actividad maliciosa.


Fecha actualizacion el 2017-11-20. Fecha publicacion el 2017-11-20. Categoria: Android. Autor: Oscar olg Mapa del sitio Fuente: gbhackers
Bug de android