由于存在安全漏洞,Android应用程序可以在用户不知情的情况下拍照和记录对话。
据重磅炸弹报告网络安全公司Checkmarx于周二发布了一个重大的Android漏洞,攻击者未经用户同意就对手机拥有广泛的许可。这个被称为CVE-2019-2234的漏洞使应用程序开发人员能够无与伦比地访问设备的摄像头,从而将用户的手机变成设备。Checkmarx能够通过其创建的假冒天气应用程序发现所有这些漏洞。
攻击者可以使相机快门静音,以隐藏未经许可即录制视频和照片的事实。甚至在关闭恶意应用程序,关闭屏幕并锁定手机的情况下,也可以采取这些措施。
该漏洞还使攻击者可以访问设备上存储的媒体以及其库中照片和视频上的GPS数据。而且,它使应用程序开发人员可以在电话交谈的两侧进行监听并记录音频。
是的,情况变得更糟。手机的接近传感器可用于让攻击者知道何时将手机举起到用户耳边以进行电话通话或何时手机面朝下躺着,以便在拍照或录制视频时无法检测到打开的相机应用程序。
如果用户授予了应用访问设备存储的权限,攻击者甚至可以将图像和视频从手机上传到服务器。
Checkmarx于夏天在研究Google Pixel 2 XL和Pixel 3上的Google Camera应用程序时首先发现了该漏洞。进一步的调查发现“ Android生态系统中其他智能手机供应商的相机应用程序”中存在相同的漏洞,包括三星。
该漏洞最令人震惊的方面之一是,攻击者无需用户首先允许该应用程序即可访问手机的摄像头和麦克风。即使是最近的病毒Facebook的错误,这会强制打开iPhone的相机,需要用户权限才能访问相机。
根据Checkmarx的报告,该漏洞于7月初首次与Google联系。三星证实,它也在八月下旬受到了漏洞的影响。两家公司均于本月批准了Checkmarx报告的发布。
Google发言人在提供给Checkmarx的一份声明中说:“我们非常感谢Checkmarx引起我们的注意,并与Google和Android合作伙伴合作以协调披露。”“该问题已通过2019年7月Google Play商店对Google Camera Application的更新在受影响的Google设备上得到解决。所有合作伙伴都已获得了补丁。”
在声明中ArstechnicaCheckmarx安全研究总监Erez Yalon推测,该漏洞可能是由于Google授予其语音助手访问设备摄像头的权限而引起的。
除了Google和Samsung,目前尚不清楚有多少其他Android手机制造商受此漏洞影响。
但是,只有这两家公司,此漏洞才有能力影响全球数亿智能手机用户。
Android设备所有者可以通过确保其智能手机已更新到最新版本的操作系统来保护自己。