CVE编号
CVE-2018-14997利用情况
暂无补丁情况
N/A披露时间
2019-04-26漏洞描述
Leagoo P1 Android设备的构建指纹为sp7731c_1h10_32v4_bird:6.0 / MRA58K / android.20170629.214736:user / release-keys包含android框架(即system_server),其包名为android,已由Leagoo或其他实体修改供应链。核心Android软件包中的system_server进程具有导出的广播接收器,允许在设备上共同定位的任何应用程序以编程方式启动截屏,并将生成的屏幕截图写入外部存储。截图的截取对用户来说并不透明;在截屏时,设备具有屏幕动画,并且存在指示屏幕截图发生的通知。如果攻击应用程序还请求EXPAND_STATUS_BAR权限,它可以使用某些技术唤醒设备,并展开状态栏以截取用户通知的屏幕截图,即使设备具有活动屏幕锁定。通知可能包含敏感数据,例如双因素身份验证中使用的文本消息。无法禁用提供此功能的system_server进程,因为它是Android框架的一部分。可以通过本地拒绝服务(DoS)攻击删除通知以重新启动设备。<br>解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://www.kryptowire.com | |
| https://www.kryptowire.com/portal/android-firmware-defcon-2018/ | |
| https://www.kryptowire.com/portal/wp-content/uploads/2018/12/DEFCON-26-Johnso... |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | leagoo | p1_firmware | - | - | |||||
| 运行在以下环境 | |||||||||
| 硬件 | leagoo | p1 | - | - | |||||
- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
还没有评论,来说两句吧...