来源: 时间:2022-12-26 17:35:08
据CheckMarx安全研究团队的研究人员称,谷歌和三星的Android智能手机上的摄像头被证明存在重大的隐私风险。他们发现相机应用程序可以用来轻松监视用户。Google已经确认了该漏洞,该漏洞不仅影响其pixel手机,还影响其他供应商。三星还确认他们受到了影响。两者都已针对该问题发布了修复程序。
详细信息由CheckMarx在向Google和三星告知该漏洞后发布。两家供应商都批准发布详细信息,这是突出显示严重安全漏洞时的标准协议。谷歌在2019年7月初就被告知该漏洞。
<iframe loading = "lazy" src = "https://www.youtube.com/embed/ 3-BVqGodmEA" width = "560" height = "315" frameborder = "0" allowfullscreen = "allowfullscreen"></iframe>
Google在一份声明中说: “我们感谢Checkmarx引起我们的注意,并与Google和Android合作伙伴合作以协调披露。该问题已通过2019年7月的Google相机应用程序的play商店更新在受影响的Google设备上解决。还向所有合作伙伴提供了补丁程序。”
发生了什么?研究人员说,他们在pixel 2 XL和pixel 3设备上发现了Google相机应用程序的问题。该漏洞来自Android上的权限绕过问题。更多的研究表明,该漏洞影响了Android生态系统中其他智能手机供应商的相机应用。
安全漏洞 (数字CVE-2019-2234) 允许攻击者控制相机应用程序通过未经明确许可的流氓应用程序拍摄照片和视频。研究人员发现,在某些攻击情况下,恶意行为者能够规避各种存储权限策略。这使他们可以访问其中嵌入的存储的照片,视频和GpS元数据,所有这些都可以用来监视用户,因为他们不知道。
由于这个漏洞,研究人员能够执行什么?
他们设计了一个样机恶意天气应用程序,它连接到黑客的命令和控制 (C & C) 服务器,在这种情况下,这是CheckMarx团队。利用该漏洞,研究人员发现他们可以在受感染的Android手机上执行以下任务:
首先,他们能够在受害者的手机上拍照并将其上传到C & C服务器,这正是间谍软件的作用。
其次,他们能够在受害者的手机上录制视频,并将其发送到C & C服务器。
第三,他们还可以获取手机上拍摄的所有照片的GpS标签,并在全球地图上定位手机,从而轻松定位用户所在的位置。
第四,手机可以在隐身模式下操作,并且在用户没有意识到这种情况的情况下拍摄了照片和视频。
第五,研究人员还能够录制语音通话,其中包括受害者一侧的视频和对话双方的音频。
研究人员表明,即使手机被锁定,他们也能够使rogue应用程序获得手机的相机拍照。他们也能够在语音通话中做到这一点。
研究人员利用了授予Android相机应用程序的存储权限,因为它必须访问存储在手机内部存储中的照片和视频。由于存储权限非常广泛,因此它们最终可以访问整个存储,这是流氓应用程序所利用的。
该漏洞最初是在7月4日上报告的,Google 7月23日将严重性提高到 “较高” 级别。8月,Google确认其他人也受到了影响,到8月底,三星确认他们也很脆弱。如果您使用的是谷歌或三星手机,最好检查相机应用程序是否已更新,并且您没有错过任何安全更新。
相关推荐
猜你喜欢
