Android手机摄像头存在漏洞 可实时监控手机使用者

2019年11月20日14:23:07 发表评论

专家在Google和Samsung提供的Android摄像头应用程序中发现了多个漏洞(CVE-2019-2234),这些漏洞可能允许攻击者监视用户。

Android手机摄像头存在漏洞 可实时监控手机使用者

网络安全Checkmarx的专家发现,谷歌和三星提供的Android摄像头应用程序中存在多个漏洞,黑客可能利用这些漏洞来监视亿万用户。

漏洞被统一跟踪为CVE-2019-2234,攻击者可以利用它们进行多项活动,包括录制视频,拍照,录制语音电话,跟踪用户的位置。
漏洞可能被威胁利用演员们甚至如果手机已锁定且屏幕已关闭。

研究人员最初分析了Google的Pixel2和Pixel3设备,然后将他们的发现扩展到了三星手机上的相机应用程序。

“这是可能的任何应用程序,没有具体的权限,以控制为Android开发的谷歌相机应用程序,并迫使其采取的照片和/或录制视频,即使手机被锁定,屏幕是关闭的。”读报告由Checkmarx发布。“在向Google披露了这些发现之后,他们与其他Android制造商共享了该报告,三星证实了其智能手机中也存在该漏洞。根据Google的说法,其他OEM也证实了这些缺陷,并将其影响范围扩大到了全球数以亿计的Android用户。”

该漏洞使受害者手机上安装的恶意应用程序可以控制存在于Google和Samsung设备上的相机应用程序,并在没有任何特殊许可的情况下监视用户。
专家的分析重点放在安装在Google智能手机(com.google.android.GoogleCamera软件包)上的摄像头应用程序中,以搜索任何漏洞。

研究人员操纵了特定的动作和意图,发现攻击者可以控制GoogleCamera应用程序使用未经许可的恶意应用程序来拍照和/或录制视频。

专家还发现,在特定条件下,攻击者可以绕过各种存储权限策略,以访问存储的视频和照片,以及嵌入在照片中的GPS元数据以通过拍摄照片或视频并分析相关的EXIF数据来定位用户。。
专家们开发了PoC天气应用程序没有特定的权限,它与攻击者的服务器建立了持久的连接,该服务器能够从目标电话中窃取任何类型的数据,即使关闭了恶意应用程序也是如此。

研究人员于7月初向Google报告了这些漏洞,该公司确认已于同月发布了针对这些漏洞的安全补丁。三星也证实已经解决了这个问题。

发表评论

后发表评论