安卓系統(tǒng)的相機App中出現(xiàn)了一個新的漏洞,至少有數(shù)百萬臺安卓設備受到影響,這個漏洞導致其它App在沒有獲得必要權(quán)限的情況下可以拍攝視頻、照片并從儲存器中提取GPS數(shù)據(jù)。
安卓的App通常會開放照相等多項功能以供同一設備上的其它App使用,但是為了使用這些功能,其它App必須預先獲得相應的權(quán)限。
針對谷歌和三星,Checkmarx的研究人員在今天披露了一個新的漏洞,即使其它App沒有獲得谷歌App的權(quán)限,它們也一樣可以拍照、錄制視頻或者獲取設備位置。
這一漏洞被命名為CVE-2019-2234,據(jù)稱,如果該問題在2019年7月之前未被解決,將會影響到谷歌相機和三星相機的正常使用。
繞過拍照和錄制視頻的權(quán)限申請
經(jīng)過對谷歌Pixel的相機App的分析,Checkmarx研究人員發(fā)現(xiàn)許多權(quán)限結(jié)合在一起便可以操縱設備的相機,進而拍攝照片或錄制視頻。
一般而言,一款應用想要錄制視頻、拍攝照片或者獲取設備位置,必須獲得以下權(quán)限:安卓相機使用權(quán)限、安卓視錄制權(quán)限、獲取精確位置權(quán)限以及獲取粗略位置權(quán)限。
Checkmarx的研究人員發(fā)現(xiàn)具有“存儲”權(quán)限的App竟然可以訪問設備上SD卡的全部內(nèi)容,同時該APP無需獲得以上權(quán)限就可以使用相機App的所有開放功能。
“安卓智能手機上惡意運行的App可以讀取SD卡,該App不僅可以訪問已有的照片和視頻,而且可以利用這種新的攻擊方法定向啟動相機,從而拍攝照片或錄制視頻。
不僅如此,GPS的元數(shù)據(jù)通常會嵌入到照片中,攻擊者可以利用這一點通過對拍攝照片或視頻的EXIF數(shù)據(jù)稍加解析,便可以獲取用戶的定位。”
這顯然是一個嚴重的問題,因為賽車游戲、流媒體服務甚至是天氣預報等多種App會定期申請存儲權(quán)限。
“也許一些App還沒有對照片或視頻訪問產(chǎn)生興趣,但不可否認的是,大量的App都合理合法的范圍內(nèi)申請存儲權(quán)限,而這是目前最普遍的被申請權(quán)限之一。”
更為糟糕的是,研究人員創(chuàng)建了一款偽裝成天氣類應用程序的概念App,該App竟然可以將照片、視頻和電話錄音悄無聲息的發(fā)送回研究人員控制下的服務器。
該漏洞十分危險,因為它可以允許沒有應用權(quán)限的App執(zhí)行以下操作:
在手機鎖定或屏幕關閉的情況下拍攝照片并錄制視頻。
通過存儲的照片提取GPS位置數(shù)據(jù)。
即使在拍照和錄制視頻時,也能收聽到雙向?qū)υ?。被勒索的潛在可能太大了?/p>
將相機快門靜音,讓受害者在拍照時聽不到聲音。傳輸存儲在SD卡中的歷史視頻和照片。谷歌相機已經(jīng)在2019年7月完成修復
Checkmarx于2019年7月4日向谷歌指出了該漏洞,7月23日,谷歌將此漏洞提升為“高危漏洞”級別。
8月1日,谷歌證實了Checkmarx研究人員懷疑的漏洞的確存在,谷歌相機確實會影響其它搭載安卓系統(tǒng)的移動設備,該漏洞被命名為CVE-2019-2234。
8月下旬,谷歌確認三星設備的相機受到了影響,兩家公司都批準了公開此漏洞的存在。
谷歌公司稱,相機應用程序中的漏洞已經(jīng)在2019年7月修復并通過Google Play商店更新,同時也為其它供應商提供了補丁。
“我們很感激Checkmarx引起了我們對這個問題的關注,并且與谷歌及安卓的供應商協(xié)商披露了這一問題。該問題已經(jīng)在7月份解決,我們對Google Play商店的谷歌相機進行了更新,所有的合作伙伴都可以使用這個補丁。”
在這里,強烈建議所有用戶將安卓系統(tǒng)升級到最新版本,以確保你的設備上使用的是最新的相機App。
責任編輯:趙睿
特別聲明:本網(wǎng)登載內(nèi)容出于更直觀傳遞信息之目的。該內(nèi)容版權(quán)歸原作者所有,并不代表本網(wǎng)贊同其觀點和對其真實性負責。如該內(nèi)容涉及任何第三方合法權(quán)利,請及時與ts@hxnews.com聯(lián)系或者請點擊右側(cè)投訴按鈕,我們會及時反饋并處理完畢。
- 安卓被曝嚴重漏洞怎么回事 安卓被曝哪些嚴重漏洞修復了嗎2019-11-21
- 最新科技前沿 頻道推薦
-
美議員批特斯拉:不能再讓司機睡覺開車了2019-11-21
- 進入圖片頻道最新圖文
- 進入視頻頻道最新視頻
- 一周熱點新聞
已有0人發(fā)表了評論