更新时间:2021-09-29 08:11:51
CheckMarx安全研究小组的研究人员证实,谷歌和三星安卓智能手机上的摄像头是主要的隐私风险。他们发现摄像头应用程序可以用来轻松监控用户。谷歌已经证实了这一漏洞,不仅影响其Pixel手机,还会影响其他供应商。三星也证实他们受到了影响。两家公司都发布了针对此问题的修复程序。
这些细节是由CheckMarx发布的,他将漏洞告知了谷歌和三星。两家供应商都批准了详细信息的发布,这是突出严重安全漏洞的标准协议。谷歌在2019年7月初被告知该漏洞。
谷歌在一份声明中表示:“我们感谢Checkmarx提请我们注意这个问题,并与谷歌和安卓合作伙伴合作协调披露事宜。通过2019年7月在谷歌Play商店更新谷歌相机应用程序,受影响的谷歌设备已经解决了这个问题。此修补程序可供所有合作伙伴使用。”
发生了什么?研究人员表示,他们在Pixel 2 XL和Pixel 3设备上发现了谷歌相机应用程序的问题。该漏洞来自Android上的权限绕过问题。更多研究表明,该漏洞影响安卓生态系统中其他智能手机厂商的摄像头应用。
安全漏洞(否CVE-2019-2234)使攻击者能够控制相机应用程序,在没有明确许可的情况下通过流氓应用程序拍摄照片和视频。研究人员发现,在某些攻击情况下,恶意行为者可以规避各种存储许可策略。这使他们能够访问存储在其中的照片、视频和全球定位系统元数据,所有这些都可以用来监控用户,因为他们不知道。
由于这个漏洞,研究人员可以做什么?
他们设计了一个原型恶意天气应用程序,它连接到黑客的命令和控制(CC)服务器,在这种情况下,CheckMarx团队。利用这个漏洞,研究人员发现他们可以在被感染的安卓手机上执行以下任务:
首先,他们可以在受害者的手机上拍照并上传到CC服务器,这正是间谍软件所做的。
其次,他们可以将视频记录在受害者的手机上,并将其发送到CC服务器。
第三,他们还可以获得手机上拍摄的所有照片的GPS标签,并在全球地图上定位自己的手机,从而轻松定位用户的位置。
第四,你可以在隐形模式下操作手机,在用户不知道的情况下拍摄照片和视频。
第五,研究人员还可以记录语音通话,包括受害者一方的视频和对话双方的音频。
研究人员已经表明,即使手机被锁定,他们也可以让流氓应用程序用手机的摄像头拍照。他们也可以在语音通话时这样做。
研究人员利用了授予安卓相机应用程序的存储权限,因为它必须访问存储在手机内存中的照片和视频。因为存储权限非常广泛,所以它们最终会授予对整个存储的访问权限,而恶意应用程序会使用整个存储。
该漏洞于7月4日首次被报道,到7月23日,谷歌已将其严重性提升至“高”。8月,谷歌确认其他人也受到影响,到8月底,三星确认他们也容易受到影响。如果你使用的是谷歌或三星手机,最好检查一下相机应用是否已经更新,你没有错过任何安全更新。
Windows10KB4541335是一个可选更新
LineageOS终止对Android 9 Pie的支持
三星Galaxy F62配有7000mAh电池四后置摄像头和7nm芯片组
三星正计划在智能手表方面恢复与Google的业务
Spotify将于今年晚些时候推出无损流媒体层HiFi
Google重点介绍了Android的多项改进
ASUS TUF Gaming A520M-PLUS 主机板
AMD Radeon RX 6800 / 6800 XT 登场
停止为十二南StayGoUSBC集线器节省百分之15的费用
如何在iPad上执行多任务分割视图滑行等
iOS13如何自定义您的iMessage配置文件
AwairElement室内空气质量监测仪评论外观新颖价格较低