Android 5.0 Lollipop 以降、アプリがビデオを録画したり、他のアプリのスクリーンショットを撮ったりできるようにする 新しい MediaProjection API が存在します。この機能は、新しい ‘createVirtualDisplay()’ メソッドを使用して、Lollipop に画面キャプチャおよび画面共有機能をもたらしました。これにより、アプリ は「メイン画面 (デフォルトの表示) のコンテンツを Surface オブジェクトにキャプチャし、アプリはそれを送信できるようになります」ネットワーク全体」 。このサービスは技術的には最初から Android に存在していましたが、アプリがそれを使用するには元々 root アクセスが必要でした。この要件は Android 5.0 から廃止されました。
ただし、アプリが MediaProjection API を使用するには特別な権限が必要ですが、プラットフォーム機能を使用する場合にはそのような権限は必要ありません。そのため、世界中の Android デバイスの約 77.5% が この抜け穴を悪用した攻撃に対して脆弱になっていると報告されています。 ユーザーの画面を密かにキャプチャし、システム音声を録音する 。影響を受ける Android のバージョンには、Lollipop (5.0 と 5.1 の両方)、Marshmallow、Nougat が含まれます。 GoogleはAndroid Oreoの脆弱性を修正した。
影響を受けるバージョンの Android では、アプリは MediaProjection サービスを使用するための特定の権限を必要とせず、代わりに、SystemUI ポップアップを通じてアクセスを要求し、スクリーンショットをキャプチャしたり、システム オーディオを録音する意図をユーザーに通知したりできます。ただし、問題は、この SystemUI 警告が表示されようとしているときにアプリがそれを検出できるため、不正なアプリが
SystemUI 警告の上に偽のテキストを重ねて表示すること
ができ、それによって無防備なユーザーが騙され、知らずに画面や音声が録画されるようになるということです。彼らが同意していること。残念ながら、影響を受ける Android バージョンで
は、部分的に隠された SystemUI ポップアップを検出できないため
、ユーザーは重大なプライバシー侵害に対して脆弱になる可能性があります。
セキュリティ用語で 「タップジャッキング」 として知られるこの Android の重大な設計上の欠陥は、昨年の冬に MWR Labs のセキュリティ研究者によって発見されました。発見の背後にあるチームによると、サイバー犯罪者 は「公知の方法を使用してこのポップアップをタップジャックし、アプリケーションにユーザーの画面をキャプチャする機能を付与することで、このメカニズムを簡単に回避する」ことができます。 ただし、ありがたいことに、アプリが音声やスクリーンショットを記録するために MediaProjection サービスにアクセスしようとするたびに、ユーザーには警告が表示されます。そのため、不正なアクティビティが疑われる場合は 、通知バーのスクリーンキャスト アイコン (上記参照) に注意してください。あなたのデバイス。
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
