环球门户网

谷歌确认安卓手机上的摄像头缺陷可以用来监控用户

更新时间:2021-09-29 08:11:51

导读 CheckMarx安全研究小组的研究人员证实,谷歌和三星安卓智能手机上的摄像头是主要的隐私风险。他们发现摄像头应用程序可以用来轻松监控用户

CheckMarx安全研究小组的研究人员证实,谷歌和三星安卓智能手机上的摄像头是主要的隐私风险。他们发现摄像头应用程序可以用来轻松监控用户。谷歌已经证实了这一漏洞,不仅影响其Pixel手机,还会影响其他供应商。三星也证实他们受到了影响。两家公司都发布了针对此问题的修复程序。

这些细节是由CheckMarx发布的,他将漏洞告知了谷歌和三星。两家供应商都批准了详细信息的发布,这是突出严重安全漏洞的标准协议。谷歌在2019年7月初被告知该漏洞。

谷歌在一份声明中表示:“我们感谢Checkmarx提请我们注意这个问题,并与谷歌和安卓合作伙伴合作协调披露事宜。通过2019年7月在谷歌Play商店更新谷歌相机应用程序,受影响的谷歌设备已经解决了这个问题。此修补程序可供所有合作伙伴使用。”

发生了什么?研究人员表示,他们在Pixel 2 XL和Pixel 3设备上发现了谷歌相机应用程序的问题。该漏洞来自Android上的权限绕过问题。更多研究表明,该漏洞影响安卓生态系统中其他智能手机厂商的摄像头应用。

安全漏洞(否CVE-2019-2234)使攻击者能够控制相机应用程序,在没有明确许可的情况下通过流氓应用程序拍摄照片和视频。研究人员发现,在某些攻击情况下,恶意行为者可以规避各种存储许可策略。这使他们能够访问存储在其中的照片、视频和全球定位系统元数据,所有这些都可以用来监控用户,因为他们不知道。

由于这个漏洞,研究人员可以做什么?

他们设计了一个原型恶意天气应用程序,它连接到黑客的命令和控制(CC)服务器,在这种情况下,CheckMarx团队。利用这个漏洞,研究人员发现他们可以在被感染的安卓手机上执行以下任务:

首先,他们可以在受害者的手机上拍照并上传到CC服务器,这正是间谍软件所做的。

其次,他们可以将视频记录在受害者的手机上,并将其发送到CC服务器。

第三,他们还可以获得手机上拍摄的所有照片的GPS标签,并在全球地图上定位自己的手机,从而轻松定位用户的位置。

第四,你可以在隐形模式下操作手机,在用户不知道的情况下拍摄照片和视频。

第五,研究人员还可以记录语音通话,包括受害者一方的视频和对话双方的音频。

研究人员已经表明,即使手机被锁定,他们也可以让流氓应用程序用手机的摄像头拍照。他们也可以在语音通话时这样做。

研究人员利用了授予安卓相机应用程序的存储权限,因为它必须访问存储在手机内存中的照片和视频。因为存储权限非常广泛,所以它们最终会授予对整个存储的访问权限,而恶意应用程序会使用整个存储。

该漏洞于7月4日首次被报道,到7月23日,谷歌已将其严重性提升至“高”。8月,谷歌确认其他人也受到影响,到8月底,三星确认他们也容易受到影响。如果你使用的是谷歌或三星手机,最好检查一下相机应用是否已经更新,你没有错过任何安全更新。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。