安全公司Checkmarx最近披露了一个Android摄像头漏洞,该漏洞使第三方应用程序可以监视他人。谷歌和三星设备最初受到影响,但自那时以来,他们已为其相机应用发布了补丁程序。其他OEM可能仍然容易受到此漏洞的影响。
根据Checkmarx的说法,该错误允许未经授权的应用程序记录视频,拍照,记录音频并记录GPS位置。只要用户授予应用访问存储的权限,它也可以将数据上传到远程服务器。
这是有可能的,因为Android处理应用程序权限的方式。从Marshmallow开始,Android利用弹出窗口来允许应用程序权限(例如使用摄像头和麦克风)。受影响设备上的摄像头应用程序无需请求这些权限,攻击者可以利用该功能来监视Android用户。
Checkmarx最初于7月份向Google的Android安全团队提交了漏洞报告。八月份,谷歌和Checkmarx就此漏洞联系了多家制造商,三星确认此漏洞已受到影响。
谷歌还确认,Android合作伙伴现在可以访问针对此相机缺陷的补丁程序。尚未公开确认谁都受到了影响以及是否已发布了补丁程序。我们所知道的是,所有Google Pixel和Samsung Galaxy手机都已正式摆脱此漏洞。