• 主页
  • 网络安全
    • 正文

    安卓被曝严重漏洞 获取存储许可就能远程偷拍附自查代码

    2019-11-20 23:34来源:99科技综合编辑:顾澄

    扫一扫

    分享文章到微信

    扫一扫

    关注99科技网微信公众号

    复制网址

      原标题:安卓被曝严重漏洞 获取存储许可就能远程偷拍附自查代码

      Checkmarx公司发现谷歌和三星等公司的安卓智能手机存在安全漏洞,可以借此录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。

      三星表示已经发布相关修复程序,但没有明确时间,谷歌今年7月修复了Pixel系列手机的相关问题,但是其他厂商的安卓机型仍然存在这一安全隐患。以下是外媒对相关问题报道的原文编译。

      一、获取存储许可即可拍照录音

      安全公司Checkmarx研究人员今年年初发现了涉及安卓摄像头应用程序的严重缺陷。他们能够创建一个概念验证(proof-of-concept)应用程序,该应用程序看起来像一个天气应用程序,只要求获得访问安卓设备存储的许可。

      通常安卓手机都会防止未经用户许可的应用程序访问智能手机上的摄像头和麦克风,所以会有权限授予的过程。但是这却恰恰成为了漏洞所在。

      Checkmarx创建的这个概念验证应用程序可以在未经用户明确许可的情况下使用摄像头和麦克风捕获视频和音频,它所需要做的就是获得访问设备存储的权限,这通常是大多数应用程序都需要的权限,因此很容易就被忽略了。

      利用这个漏洞,研究人员说他们可以无声地拍照、录视频、录音频、检查手机是否朝下,记录通话以及通过照片中包含的GPS数据访问设备的位置,即使关闭手机屏幕或关闭应用程序,这些操作仍然可以实现。

      它能够在隐身模式下运行,消除相机的快门声,并且还可以记录双向电话对话。尽管这个漏洞目前没有被滥用的消息,但目前研究人员能够将他们记录的所有内容上传到远程服务器。

      二、Pixel系列以外安卓机型仍存在风险

    安卓爆安全漏洞!获取存储许可就能远程偷拍「附自查代码」

      谷歌告诉Fast Company,早在7月,它就解决了“受影响的谷歌设备”,也就是Pixel手机的问题。三星表示,“我们已经发布了修补程序,以解决这个可能会影响三星所有设备型号的漏洞”,但三星没有透露何时发布了这一修复程序。

      谷歌在声明中表示“其补丁也已提供给所有合作伙伴”,但它没有透露其他制造商的任何安卓设备目前是否仍然会受到影响,也就是Pixel以外的安卓手机。不幸的是,根据Checkmarx的说法,某些设备可能仍然存在问题,

      目前该问题仅限于安卓手机,苹果的iOS设备不会受到影响。

      三、目前已发布检测代码

      Checkmarx推测应用程序无需用户许可即可访问相机,可能与谷歌决定将相机与谷歌 Assistant配合使用的决定有关,其他制造商也可能已经实现了该功能。

      外媒arstechnica目前公布了检测这一漏洞的代码。

      1、命令将强制手机拍摄视频:

      $ adb shell am start-activity -n

      com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez

      extra_turn_screen_on true -a android.media.action.VIDEO_CAMERA –ez

      android.intent.extra.USE_FRONT_CAMERA true

      2、以下命令将强制手机拍照:

      $ adb shell am start-activity -n

      com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez

      extra_turn_screen_on true -a android.media.action.STILL_IMAGE_CAMERA –

      -ez android.intent.extra.USE_FRONT_CAMERA true –ei

      android.intent.extra.TIMER_DURATION_SECONDS 3

      这种攻击类型不太可能针对绝大多数安卓用户使用。尽管如此,根据将恶意应用程序植入Google Play商店的难易程度来看,实现这种目标对于一个执着且经验丰富的黑客而言,并不难。

      结语:隐私保护问题是智能手机重要关注点

      随着当下智能手机的快速发展,手机的品类和功能都极大丰富。各种各样的应用程序(app)充斥着手机屏幕,给用户带来极大便利的同时,也带来了潜在的隐私风险。

      许多功能都是基于用户数据作为“原料”来运作的,因此就需要有获取数据的权限,目前用户授权已经做的比较成熟,授权的类别也已经非常细致,但是上文中的漏洞正是通过伪造了权限展现形式,欺骗用户从而得到授权。

      当下,用户面对这种漏洞还是相对无力的,所以各大手机厂商,尤其是系统提供商,应当将用户数据隐私保护放在首要位置,尽快解决这一问题。离开了基本的数据安全,智能也无从谈起。

      原文来自:Fastcompany,macrumors,arstechnica

         投稿邮箱:jiujiukejiwang@163.com   详情访问99科技网:http://www.99it.com.cn

    相关推荐
    安全软件公司 McAfee 以 140 亿美元被收购 创始人已 安全软件公司 McAfee 以 140 亿美元被收购 创始人已

    原标题:安全软件公司 McAfee 以 140 亿美元被收购 创始人已于 6 月身亡 安全软件

    网络安全2021-11-09

    剁手族请注意!被“双十一”促销垃圾短信轰炸 剁手族请注意!被“双十一”促销垃圾短信轰炸

    原标题:剁手族请注意!被双十一促销垃圾短信轰炸 可拨这个电话举报 11月1

    网络安全2021-11-07

    Facebook被指已经意识到存在于其用户中的“问题使 Facebook被指已经意识到存在于其用户中的“问题使

    原标题:Facebook被指已经意识到存在于其用户中的问题使用 据了解,《华尔街日

    网络安全2021-11-07

    GitLab 服务器漏洞被滥用于发起超过 1Tbps 的 DDoS GitLab 服务器漏洞被滥用于发起超过 1Tbps 的 DDoS

    原标题:GitLab 服务器漏洞被滥用于发起超过 1Tbps 的 DDoS 攻击 Google 云安全可靠

    网络安全2021-11-06

    重磅!微信、淘宝等或迎超级监管:隐私、垄断 重磅!微信、淘宝等或迎超级监管:隐私、垄断

    原标题:重磅!微信、淘宝等或迎超级监管:隐私、垄断等行为被严控 国内移

    网络安全2021-10-30

    元气森林再陷“被薅羊毛”风波:系运营事故 或 元气森林再陷“被薅羊毛”风波:系运营事故 或

    原标题:元气森林再陷被薅羊毛风波:系运营事故 或损失200万 元气森林再陷被

    网络安全2021-10-27

    25岁女子假扮“大粉”诈骗被逮捕 13名饭圈女孩损 25岁女子假扮“大粉”诈骗被逮捕 13名饭圈女孩损

    原标题:25岁女子假扮大粉诈骗被逮捕 13名饭圈女孩损失超十万 25岁女子营造大

    网络安全2021-10-26

    NO作no死!运用AI去除马赛克贩卖敏感视频 日本男 NO作no死!运用AI去除马赛克贩卖敏感视频 日本男

    原标题:NO作no死!运用AI去除马赛克贩卖敏感视频 日本男子违反版权法被捕 众

    网络安全2021-10-19

    辱骂、威胁、连环夺命call……细数那些被“朋友 辱骂、威胁、连环夺命call……细数那些被“朋友

    原标题:辱骂、威胁、连环夺命call细数那些被朋友借贷套住的倒霉蛋 人无信不

    网络安全2021-10-15

    Facebook 严控内部留言板,防止内部机密信息被泄 Facebook 严控内部留言板,防止内部机密信息被泄

    原标题:Facebook 严控内部留言板,防止内部机密信息被泄露 10 月 14 日消息,

    网络安全2021-10-15

    头条资讯
    推荐资讯
    最近更新
    
    99科技网—新锐科技媒体!
    关于我们 | 联系我们 | 商务合作
    寻求报道 | 免责声明 | 网站地图
    申请友链 | 加入我们 | 意见反馈
    投诉建议
    通过E-mail将您的想法和建议发给我们
    稿件投诉:jiujiukejiwang@163.com
    合作网站:辣妈营
    联系我们
    服务热线:400-8558-350
    官方客服QQ:3443764770
    微信公众号:jiujiukejiwang
    Copyright © 2009-2021 99科技网—提供有价值的科技领域报道和服务 浙ICP备18046884号-3

    浙公网安备 33052102000510号