|
|
|
安卓系统的相机app中出现了一个新的漏洞,至少有数百万台安卓设备受到影响,这个漏洞导致其它app在没有获得必要权限的情况下可以拍摄视频、照片并从储存器中提取gps数据。 安卓的app通常会开放照相等多项功能以供同一设备上的其它app使用,但是为了使用这些功能,其它app必须预先获得相应的权限。 针对谷歌和三星,checkmarx的研究人员在今天披露了一个新的漏洞,即使其它app没有获得谷歌app的权限,它们也一样可以拍照、录制视频或者获取设备位置。 这一漏洞被命名为cve-2019-2234,据称,如果该问题在2019年7月之前未被解决,将会影响到谷歌相机和三星相机的正常使用。 绕过拍照和录制视频的权限申请 经过对谷歌pixel的相机app的分析,checkmarx研究人员发现许多权限结合在一起便可以操纵设备的相机,进而拍摄照片或录制视频。 安卓被曝严重漏洞 安卓被曝严重漏洞 一般而言,一款应用想要录制视频、拍摄照片或者获取设备位置,必须获得以下权限:安卓相机使用权限、安卓视录制权限、获取精确位置权限以及获取粗略位置权限。 checkmarx的研究人员发现具有“存储”权限的app竟然可以访问设备上sd卡的全部内容,同时该app无需获得以上权限就可以使用相机app的所有开放功能。 “安卓智能手机上恶意运行的app可以读取sd卡,该app不仅可以访问已有的照片和视频,而且可以利用这种新的攻击方法定向启动相机,从而拍摄照片或录制视频。 不仅如此,gps的元数据通常会嵌入到照片中,攻击者可以利用这一点通过对拍摄照片或视频的exif数据稍加解析,便可以获取用户的定位。” 这显然是一个严重的问题,因为赛车游戏、流媒体服务甚至是天气预报等多种app会定期申请存储权限。 “也许一些app还没有对照片或视频访问产生兴趣,但不可否认的是,大量的app都合理合法的范围内申请存储权限,而这是目前最普遍的被申请权限之一。” 安卓被曝严重漏洞 安卓被曝严重漏洞 更为糟糕的是,研究人员创建了一款伪装成天气类应用程序的概念app,该app竟然可以将照片、视频和电话录音悄无声息的发送回研究人员控制下的服务器。 该漏洞十分危险,因为它可以允许没有应用权限的app执行以下操作: 在手机锁定或屏幕关闭的情况下拍摄照片并录制视频。 通过存储的照片提取gps位置数据。 即使在拍照和录制视频时,也能收听到双向对话。被勒索的潜在可能太大了! 将相机快门静音,让受害者在拍照时听不到声音。传输存储在sd卡中的历史视频和照片。谷歌相机已经在2019年7月完成修复 checkmarx于2019年7月4日向谷歌指出了该漏洞,7月23日,谷歌将此漏洞提升为“高危漏洞”级别。 8月1日,谷歌证实了checkmarx研究人员怀疑的漏洞的确存在,谷歌相机确实会影响其它搭载安卓系统的移动设备,该漏洞被命名为cve-2019-2234。 安卓被曝严重漏洞 安卓被曝严重漏洞 8月下旬,谷歌确认三星设备的相机受到了影响,两家公司都批准了公开此漏洞的存在。 谷歌公司称,相机应用程序中的漏洞已经在2019年7月修复并通过google play商店更新,同时也为其它供应商提供了补丁。 “我们很感激checkmarx引起了我们对这个问题的关注,并且与谷歌及安卓的供应商协商披露了这一问题。该问题已经在7月份解决,我们对google play商店的谷歌相机进行了更新,所有的凯发官网入口的合作伙伴都可以使用这个补丁。” 在这里,强烈建议所有用户将安卓系统升级到最新版本,以确保你的设备上使用的是最新的相机app。 |