安卓被曝严重漏洞具体是怎样的?安卓系统漏洞或导致用户信息泄露甚至能监听电话!谷歌 ...

2019年11月23日23:48:44 发表评论

安卓被曝严重破绽怎样回事?用安卓零碎手机的用户留意了!安卓手机又遭殃了,平安公司Checkmarx发现,安卓零碎存在一个破绽,让歹意使用无需用户答应就能录制视频、拍摄照片和捕捉音频,并将内收留上传到近程效劳器。

据theinquirer报道,近日,安卓零碎备被曝呈现一个破绽,让攻击者在未经用户答应的状况下可以偷偷拍摄照片和录制视频。

这个破绽编号为CVE-2019-2234,是由平安公司Checkmarx研讨职员。该破绽影响了自往年 7 月以来还没更新过的谷歌相机和三星相机APP。

在正常状况下,第三方使用顺序需求取得拜访摄像机、录制音频和拜访地位数据的明白权限。但是研讨职员发现,只需取得拜访设备SD卡的权限,在没有受权的状况下,这些使用也可以取得运用摄像头和麦克风来捕捉视频和音频权限。

Android本应阻止使用在未经用户答应的状况下拜访智能手机摄像头和麦克风,但这个破绽能让使用无需取得用户的明白答应,只需取得拜访设备存储空间的权限,即可运用摄像头和麦克风来捕捉视频和音频,而这通常是大少数使用要求取得的权限。

研讨职员称,经过这种方式,黑客可以创立一个歹意使用顺序获取储拜访权限,并从那里获取相机使用顺序的权限而无需用户答应。

研讨职员称,这种歹意APP不只可以拜访用户过来的照片和视频,还可以随意启动相机拍摄新的照片和视频。此外,由于GPS数据通常都嵌进到照片中中,因而黑客还可以经过拍摄照片或视频解析EXIF数据来获取用户数据。

为了验证事情的真实性,Checkmarx制造了一个相似使用,外表上看起来像是个天气使用,但实践上在后台搜集少量数据。测试发现,即便手机屏幕或使用处于封闭形态,这个使用也可以拍摄照片和录制视频,还可以拜访照片中的地位数据,甚至是监听你的电话。

依据Checkmarx的说法,谷歌表示其他厂商的Android手机也能够遭到攻击,但尚未表露详细的制造商和手机型号。

目前,谷歌和三星表示相关的相机使用顺序的破绽曾经修复。

谷歌表示:“我们很感激Checkmarx让我们留意到这一点,并与谷歌和Android的协作同伴协调表露了相关音讯。这个题目曾经在受影响的谷歌设备上失掉处理,我们在2019年7月对谷歌相机使用停止了Play Store更新。我们还已向一切协作同伴提供了一个补丁。”

这里还是要提示谷歌和三星用户要确保他们运转的不只仅是最新版本的安卓零碎,还有最新版本的安卓设备相机使用顺序。

发表评论

后发表评论