您现在的位置是:首页 > 设计心得设计心得
安卓被曝严重漏洞 安卓严重漏洞的真相是什么?用户或已被偷拍
刘合龙2019-11-21【设计心得】人已围观
简介安卓被曝严重漏洞。安卓系统的相机App中出现了一个新的漏洞,至少有数百万台安卓设备受到影响,这个漏洞导致其它App在没有获得必要权限的情况下可以拍摄视频、照片并从储存器中提取GPS数据。
近日,以“(和iOS系统比)不安全”著称的安卓系统又被曝出存在严重漏洞,就算你没授权APP调用摄像头,它也可能偷偷给你拍下一段小视屏,上传到某些知名不知名的网站上去。
据以色列安全公司Checkmarx曝光,安卓系统存在一个CVE-2019-2234漏洞,该漏洞允许流氓APP远程获取摄像头、麦克风和GPS位置数据的输入。这一行为十分敏感,所以安卓开源项目特别设置了一组权限,要求任何APP都必须先向用户请求,获得批准才能调用。
但是,Checkmarx创建了一个攻击场景,利用“存储访问”权限的漏洞,不仅可以调用存储在手机中的照片和视频数据,还获得了随时调用摄像头的权限。由于存储访问相对来说没那么敏感,大多数用户在授权方面并不在意,这就给了黑客可乘之机。
Checkmarx安全团队表示,这种漏洞主要利用谷歌相机APP,同时三星的相机应用也存在相同状况,因此这2大厂商最有可能受影响。他们称,这一漏洞会威胁“数以亿计”的用户。
安卓的App通常会开放照相等多项功能以供同一设备上的其它App使用,但是为了使用这些功能,其它App必须预先获得相应的权限。
针对谷歌和三星,Checkmarx的研究人员在今天披露了一个新的漏洞,即使其它App没有获得谷歌App的权限,它们也一样可以拍照、录制视频或者获取设备位置。
这一漏洞被命名为CVE-2019-2234,据称,如果该问题在2019年7月之前未被解决,将会影响到谷歌相机和三星相机的正常使用。
绕过拍照和录制视频的权限申请
经过对谷歌Pixel的相机App的分析,Checkmarx研究人员发现许多权限结合在一起便可以操纵设备的相机,进而拍摄照片或录制视频。
安卓被曝严重漏洞一般而言,一款应用想要录制视频、拍摄照片或者获取设备位置,必须获得以下权限:安卓相机使用权限、安卓视录制权限、获取精确位置权限以及获取粗略位置权限。
Checkmarx的研究人员发现具有“存储”权限的App竟然可以访问设备上SD卡的全部内容,同时该APP无需获得以上权限就可以使用相机App的所有开放功能。
“安卓智能手机上恶意运行的App可以读取SD卡,该App不仅可以访问已有的照片和视频,而且可以利用这种新的攻击方法定向启动相机,从而拍摄照片或录制视频。
不仅如此,GPS的元数据通常会嵌入到照片中,攻击者可以利用这一点通过对拍摄照片或视频的EXIF数据稍加解析,便可以获取用户的定位。”
这显然是一个严重的问题,因为赛车游戏、流媒体服务甚至是天气预报等多种App会定期申请存储权限。
“也许一些App还没有对照片或视频访问产生兴趣,但不可否认的是,大量的App都合理合法的范围内申请存储权限,而这是目前最普遍的被申请权限之一。”
安卓被曝严重漏洞更为糟糕的是,研究人员创建了一款伪装成天气类应用程序的概念App,该App竟然可以将照片、视频和电话录音悄无声息的发送回研究人员控制下的服务器。
该漏洞十分危险,因为它可以允许没有应用权限的App执行以下操作:
在手机锁定或屏幕关闭的情况下拍摄照片并录制视频。
通过存储的照片提取GPS位置数据。
即使在拍照和录制视频时,也能收听到双向对话。被勒索的潜在可能太大了!
将相机快门静音,让受害者在拍照时听不到声音。传输存储在SD卡中的历史视频和照片。谷歌相机已经在2019年7月完成修复
Checkmarx于2019年7月4日向谷歌指出了该漏洞,7月23日,谷歌将此漏洞提升为“高危漏洞”级别。
8月1日,谷歌证实了Checkmarx研究人员怀疑的漏洞的确存在,谷歌相机确实会影响其它搭载安卓系统的移动设备,该漏洞被命名为CVE-2019-2234。
安卓被曝严重漏洞8月下旬,谷歌确认三星设备的相机受到了影响,两家公司都批准了公开此漏洞的存在。
谷歌公司称,相机应用程序中的漏洞已经在2019年7月修复并通过Google Play商店更新,同时也为其它供应商提供了补丁。
“我们很感激Checkmarx引起了我们对这个问题的关注,并且与谷歌及安卓的供应商协商披露了这一问题。该问题已经在7月份解决,我们对Google Play商店的谷歌相机进行了更新,所有的合作伙伴都可以使用这个补丁。”
在这里,强烈建议所有用户将安卓系统升级到最新版本,以确保你的设备上使用的是最新的相机App。
Tags:安卓系统 安卓被曝严重漏洞 iOS系统 相机APP漏洞 CVE-2019-2234漏洞
很赞哦! ()
相关文章
随机图文
作为一个设计师,如果遭到质疑你是否能恪守自己的原则?
就拿我自己来说吧,有时候会很矛盾,设计好的作品,不把它分享出来,会觉得待在自己电脑里面实在是没有意义。干脆就发布出去吧。我也害怕收到大家不好的评论,有些评论,可能说者无意,但是对于每一个用心的站长来说,都会受很深
微信头像能和QQ一样显示等级了,我是LV6!快来看看你多少级
最近闲着无聊,意外找到一个小玩意,可以帮微信头像添加等级。
遇见一个未知的你
听着那熟悉的歌曲看着那一张张可爱的图片.-读着我们共同欣赏的诗……也许我们曾经相遇,看着你远去的背影 ,沿着你来的方向 ,回忆时间穿梭于幸福的点点滴滴....
网易博客关闭,何不从此开始潇洒行走江湖!
从网易博客平台的出现,到现在已经有12个年头了,很多人还坚持着,网易博客一宣布关闭,很多人都很惋惜,那么多的文字记忆,又该如何是好?虽然可以一键搬迁到lofter
