您現(xiàn)在的位置:海峽網(wǎng)>新聞中心>IT科技>科技前沿
分享

安卓系統(tǒng)的相機(jī)App中出現(xiàn)了一個(gè)新的漏洞,至少有數(shù)百萬臺(tái)安卓設(shè)備受到影響,這個(gè)漏洞導(dǎo)致其它App在沒有獲得必要權(quán)限的情況下可以拍攝視頻、照片并從儲(chǔ)存器中提取GPS數(shù)據(jù)。

安卓的App通常會(huì)開放照相等多項(xiàng)功能以供同一設(shè)備上的其它App使用,但是為了使用這些功能,其它App必須預(yù)先獲得相應(yīng)的權(quán)限。

針對(duì)谷歌和三星,Checkmarx的研究人員在今天披露了一個(gè)新的漏洞,即使其它App沒有獲得谷歌App的權(quán)限,它們也一樣可以拍照、錄制視頻或者獲取設(shè)備位置。

這一漏洞被命名為CVE-2019-2234,據(jù)稱,如果該問題在2019年7月之前未被解決,將會(huì)影響到谷歌相機(jī)和三星相機(jī)的正常使用。

繞過拍照和錄制視頻的權(quán)限申請(qǐng)

經(jīng)過對(duì)谷歌Pixel的相機(jī)App的分析,Checkmarx研究人員發(fā)現(xiàn)許多權(quán)限結(jié)合在一起便可以操縱設(shè)備的相機(jī),進(jìn)而拍攝照片或錄制視頻。

一般而言,一款應(yīng)用想要錄制視頻、拍攝照片或者獲取設(shè)備位置,必須獲得以下權(quán)限:安卓相機(jī)使用權(quán)限、安卓視錄制權(quán)限、獲取精確位置權(quán)限以及獲取粗略位置權(quán)限。

Checkmarx的研究人員發(fā)現(xiàn)具有“存儲(chǔ)”權(quán)限的App竟然可以訪問設(shè)備上SD卡的全部內(nèi)容,同時(shí)該APP無需獲得以上權(quán)限就可以使用相機(jī)App的所有開放功能。

“安卓智能手機(jī)上惡意運(yùn)行的App可以讀取SD卡,該App不僅可以訪問已有的照片和視頻,而且可以利用這種新的攻擊方法定向啟動(dòng)相機(jī),從而拍攝照片或錄制視頻。

不僅如此,GPS的元數(shù)據(jù)通常會(huì)嵌入到照片中,攻擊者可以利用這一點(diǎn)通過對(duì)拍攝照片或視頻的EXIF數(shù)據(jù)稍加解析,便可以獲取用戶的定位。”

這顯然是一個(gè)嚴(yán)重的問題,因?yàn)橘愜囉螒?、流媒體服務(wù)甚至是天氣預(yù)報(bào)等多種App會(huì)定期申請(qǐng)存儲(chǔ)權(quán)限。

“也許一些App還沒有對(duì)照片或視頻訪問產(chǎn)生興趣,但不可否認(rèn)的是,大量的App都合理合法的范圍內(nèi)申請(qǐng)存儲(chǔ)權(quán)限,而這是目前最普遍的被申請(qǐng)權(quán)限之一。”

更為糟糕的是,研究人員創(chuàng)建了一款偽裝成天氣類應(yīng)用程序的概念A(yù)pp,該App竟然可以將照片、視頻和電話錄音悄無聲息的發(fā)送回研究人員控制下的服務(wù)器。

該漏洞十分危險(xiǎn),因?yàn)樗梢栽试S沒有應(yīng)用權(quán)限的App執(zhí)行以下操作:

在手機(jī)鎖定或屏幕關(guān)閉的情況下拍攝照片并錄制視頻。

通過存儲(chǔ)的照片提取GPS位置數(shù)據(jù)。

即使在拍照和錄制視頻時(shí),也能收聽到雙向?qū)υ?。被勒索的潛在可能太大了?/p>

將相機(jī)快門靜音,讓受害者在拍照時(shí)聽不到聲音。傳輸存儲(chǔ)在SD卡中的歷史視頻和照片。谷歌相機(jī)已經(jīng)在2019年7月完成修復(fù)

Checkmarx于2019年7月4日向谷歌指出了該漏洞,7月23日,谷歌將此漏洞提升為“高危漏洞”級(jí)別。

8月1日,谷歌證實(shí)了Checkmarx研究人員懷疑的漏洞的確存在,谷歌相機(jī)確實(shí)會(huì)影響其它搭載安卓系統(tǒng)的移動(dòng)設(shè)備,該漏洞被命名為CVE-2019-2234。

安卓被曝嚴(yán)重漏洞

8月下旬,谷歌確認(rèn)三星設(shè)備的相機(jī)受到了影響,兩家公司都批準(zhǔn)了公開此漏洞的存在。

谷歌公司稱,相機(jī)應(yīng)用程序中的漏洞已經(jīng)在2019年7月修復(fù)并通過Google Play商店更新,同時(shí)也為其它供應(yīng)商提供了補(bǔ)丁。

“我們很感激Checkmarx引起了我們對(duì)這個(gè)問題的關(guān)注,并且與谷歌及安卓的供應(yīng)商協(xié)商披露了這一問題。該問題已經(jīng)在7月份解決,我們對(duì)Google Play商店的谷歌相機(jī)進(jìn)行了更新,所有的合作伙伴都可以使用這個(gè)補(bǔ)丁。”

在這里,強(qiáng)烈建議所有用戶將安卓系統(tǒng)升級(jí)到最新版本,以確保你的設(shè)備上使用的是最新的相機(jī)App。

責(zé)任編輯:趙睿

       特別聲明:本網(wǎng)登載內(nèi)容出于更直觀傳遞信息之目的。該內(nèi)容版權(quán)歸原作者所有,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。如該內(nèi)容涉及任何第三方合法權(quán)利,請(qǐng)及時(shí)與ts@hxnews.com聯(lián)系或者請(qǐng)點(diǎn)擊右側(cè)投訴按鈕,我們會(huì)及時(shí)反饋并處理完畢。

最新科技前沿 頻道推薦
進(jìn)入新聞?lì)l道新聞推薦
福州上空鋪滿了絕美晚霞,你看到了嗎?
進(jìn)入圖片頻道最新圖文
進(jìn)入視頻頻道最新視頻
一周熱點(diǎn)新聞
下載海湃客戶端
關(guān)注海峽網(wǎng)微信
?

職業(yè)道德監(jiān)督、違法和不良信息舉報(bào)電話:0591-87095414 舉報(bào)郵箱:service@hxnews.com

本站游戲頻道作品版權(quán)歸作者所有,如果侵犯了您的版權(quán),請(qǐng)聯(lián)系我們,本站將在3個(gè)工作日內(nèi)刪除。

溫馨提示:抵制不良游戲,拒絕盜版游戲,注意自我保護(hù),謹(jǐn)防受騙上當(dāng),適度游戲益腦,沉迷游戲傷身,合理安排時(shí)間,享受健康生活。

CopyRight ?2016 海峽網(wǎng)(福建日?qǐng)?bào)主管主辦) 版權(quán)所有 閩ICP備15008128號(hào)-2 閩互聯(lián)網(wǎng)新聞信息服務(wù)備案編號(hào):20070802號(hào)

福建日?qǐng)?bào)報(bào)業(yè)集團(tuán)擁有海峽都市報(bào)(海峽網(wǎng))采編人員所創(chuàng)作作品之版權(quán),未經(jīng)報(bào)業(yè)集團(tuán)書面授權(quán),不得轉(zhuǎn)載、摘編或以其他方式使用和傳播。

版權(quán)說明| 海峽網(wǎng)全媒體廣告價(jià)| 聯(lián)系我們| 法律顧問| 舉報(bào)投訴| 海峽網(wǎng)跟帖評(píng)論自律管理承諾書

友情鏈接:新聞?lì)l道?| 福建頻道?| 新聞聚合