محبوبترینها
قیمت دیگ بخار و تولیدکننده اصلی دیگ بخار
معروفترین هدیه و سوغاتی یزد مشخص شد!
آشنایی با انواع دوربین مداربسته ضد آب
پرداخت اینترنتی قبوض ساختمان (پرداخت قبض گاز، برق و آب)
بهترین دوره آموزش سئو محتوا در سال 1403 با نام طوفان ۱۴۰۳ در فروردین ماه شروع می شود
یک صرافی ارز دیجیتال چه امکاناتی باید داشته باشد؟
تعمیرگاه مجاز تعمیر ماشین لباسشویی در شرق تهران
تعمیرگاه مجاز تعمیر ماشین لباسشویی در شرق تهران
جراحی و درمان ریشه دندان عفونی با خانم دکتر صفوراامامی
چه مواردی بر قیمت کابین دوش حمام تاثیر دارند؟
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1797071384
سوءاستفاده از سرویس اندرویدی برای ضبط صدا
واضح آرشیو وب فارسی:عصر ایران: سوءاستفاده از سرویس اندرویدی برای ضبط صدا
یکی از آسیبپذیریهای اندروید به برنامهنویسان اجازه میدهد محتوای صفحه نمایش دستگاه اندرویدی را رصد کرده و صداها را ضبط کنند و طبق آمار، سهچهارم از دستگاههای اندرویدی فعال فعلی، تحت تاثیر این آسیبپذیری قرار گرفتهاند. به گزارش ایسنا، گوشیهای هوشمند اندرویدی با سیستم عامل لالیپاپ، مارشمالو و نوقا، نسبت به حملهای که از سرویس مدیا پروجکشن (MediaProjection) سوءاستفاده میکند، آسیبپذیر هستند. مدیا پروجکشن یکی از سرویسهای اندروید است که قادر به دریافت محتویات صفحه نمایش و ضبط صدای سیستم است. این حفره همزمان با عرضه نسخه اندروید ۵.۰ لالیپاپ معرفی شد. این چارچوب به برنامهنویسان اجازه میدهد محتوای صفحه نمایش دستگاه اندرویدی را رصد کرده و صداها را ضبط کنند. پیش از عرضه این نسخه از اندروید، اپلیکیشنهای ضبط نمایشگر به دسترسی روت یا کلیدهای مخصوص احتیاج داشتند. طبق آمار به دست آمده از توزیع این دستگاهها در بازار، ۷۷.۵ درصد (سهچهارم) از تمام دستگاههای اندرویدی فعال فعلی، تحت تاثیر این آسیبپذیری قرار گرفتهاند. با انتشار اندروید لالیپاپ، گوگل این سرویس را بدون نیاز به مجوزی که برنامههای کاربردی پیش از نصب از کاربر درخواست میکنند، در اندروید قرار داد. آگاهی از همین موضوع باعث شد تا برنامهها از طریق یک «تماس عمدی»، دسترسی به این سرویس سیستمی را درخواست کنند. این تماس عمدی و استفاده از سرویس، یک پنجره پاپآپ SystemUI را به کاربر نشان میدهد که هنگام گرفتن عکس از صفحه و ضبط صدای سیستم توسط برنامه، به کاربر هشدار میداد. با توجه به اطلاعات وبسایت مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) در اوایل زمستان سال گذشته (۲۰۱۶)، محققان امنیتی آزمایشگاه MWR کشف کردند که مهاجم میتواند زمان ظاهر شدن پنجره SystemUI را شناسایی کند. با دانستن این زمان، مهاجمان میتوانند پنجره دلخواهی را روی آن نشان دهند و متن آن را با پیام دیگری مخفی کنند. روش ضربه-سرقت برای سرقت صفحه کاربران این روش به نام ضربه-سرقت شناخته شده است و چندین سال است که توسط توسعهدهندگان بدافزار اندروید مورد استفاده قرار میگیرد. در این روش، مهاجمان ضربات کاربر روی صفحه را به سرقت میبرند و از آنها برای رسیدن به هدف مورد نظر خود استفاده میکنند. این روش زمان ارائه مجوز به اپلیکیشن (برنامه نرمافزاری) جهت ضبط محتوای نمایشگر، میتواند کاربران را فریب داده و یا حتی در صورت نمایش پیغام، چیز کاملا متفاوتی به آنها بگوید. برنامهای که از ساختار مدیا پروجکشن استفاده میکند، به صورت معمول، درخواست دسترسی به آن را از طریق نمایش پیغامی روی نمایشگر دستگاه به کاربر اعلام میکند و تنها پس از آن، فریمورک به برنامه اجازه ضبط محتویات نمایشگر را خواهد داد. این حفره امنیتی، مهاجمان و هکرها را قادر میسازد تا روی پیامی که در شرایط عادی از سوی مدیا پروجکشن برای ضبط محتوا صادر میشود، سرپوش بگذارند. گروه تحقیقاتی MWR در گزارش خود توضیح داده که علت اصلی این آسیبپذیری این واقعیت است که نسخههای اندرویدی که تحت تاثیر آن قرار میگیرند، قادر به تشخیص پنجرههای پنهانشده نیستند. همین موضوع به مهاجم اجازه میدهد تا برنامهای کاربردی ایجاد کند که میتواند یک همپوشانی تولید کند. این همپوشانی منجر به افزایش مجوزهای برنامه میشود و اجازه دریافت صفحه نمایش کاربر را به مهاجم میدهد. گوگل این آسیبپذیری را در پاییز امسال در سیستم عامل اندروید با انتشار اندروید۸.۰ اورئو برطرف کرده است؛ اما نسخههای قدیمیتر اندروید همچنان آسیبپذیر هستند. هنوز مشخص نیست که آیا گوگل قصد دارد این آسیبپذیری را نیز برای نسخههای قدیمیتر آسیبپذیر اندروید حل کند یا خیر، به همین دلیل کاربران باید دستگاههای خود را بهروز کرده و نسبت به دانلود و نصب برنامهها با احتیاط بیشتر برخورد کنند. محققان تاکید کردند حملهای که از این نقص سوءاستفاده میکند، کاملا غیرقابل شناسایی نیست. هنگامی که یک برنامه کاربردی، دسترسی به سرویس مدیا پروجکشن را به دست میآورد، یک نمایش مجازی ایجاد میکند که آیکون Screencast را در نوار اعلان فعال میکند. گروه تحقیقاتیMWR همچنین راهحلی برای توسعهدهندگان نرمافزار اندروید ارایه داده است که میتواند این مساله از طریق WindowManager را حل کند. این راهحل اطمینان میدهد که محتوای پنجرههای برنامههای کاربردی، امن محسوب میشوند و مانع از نمایش آن در تصاویر یا مشاهده در نمایشهای ناامن میشود.
تاریخ انتشار: ۰۷:۲۶ - ۲۲ آذر ۱۳۹۶ - 13 December 2017
این صفحه را در گوگل محبوب کنید
[ارسال شده از: عصر ایران]
[مشاهده در: www.asriran.com]
[تعداد بازديد از اين مطلب: 22]
-
علم و فناوری
پربازدیدترینها