你好,歡迎來到川北在線
微信
騰訊微博
新浪微博
安卓被曝嚴重漏洞 獲取存儲許可就能遠程偷拍附自查代碼
時間:2019-11-20 23:32   來源:今日頭條   責任編輯:毛青青
  原標題:安卓被曝嚴重漏洞 獲取存儲許可就能遠程偷拍附自查代碼
 
  Checkmarx公司發(fā)現谷歌和三星等公司的安卓智能手機存在安全漏洞,可以借此錄制視頻,拍照和捕獲音頻,然后在未經用戶許可的情況下將內容上傳到遠程服務器。
 
  三星表示已經發(fā)布相關修復程序,但沒有明確時間,谷歌今年7月修復了Pixel系列手機的相關問題,但是其他廠商的安卓機型仍然存在這一安全隱患。以下是外媒對相關問題報道的原文編譯。
 
  一、獲取存儲許可即可拍照錄音
 
  安全公司Checkmarx研究人員今年年初發(fā)現了涉及安卓攝像頭應用程序的嚴重缺陷。他們能夠創(chuàng)建一個概念驗證(proof-of-concept)應用程序,該應用程序看起來像一個天氣應用程序,只要求獲得訪問安卓設備存儲的許可。
 
  通常安卓手機都會防止未經用戶許可的應用程序訪問智能手機上的攝像頭和麥克風,所以會有權限授予的過程。但是這卻恰恰成為了漏洞所在。
 
  Checkmarx創(chuàng)建的這個概念驗證應用程序可以在未經用戶明確許可的情況下使用攝像頭和麥克風捕獲視頻和音頻,它所需要做的就是獲得訪問設備存儲的權限,這通常是大多數應用程序都需要的權限,因此很容易就被忽略了。
 
  利用這個漏洞,研究人員說他們可以無聲地拍照、錄視頻、錄音頻、檢查手機是否朝下,記錄通話以及通過照片中包含的GPS數據訪問設備的位置,即使關閉手機屏幕或關閉應用程序,這些操作仍然可以實現。
 
  它能夠在隱身模式下運行,消除相機的快門聲,并且還可以記錄雙向電話對話。盡管這個漏洞目前沒有被濫用的消息,但目前研究人員能夠將他們記錄的所有內容上傳到遠程服務器。
 
  二、Pixel系列以外安卓機型仍存在風險
安卓爆安全漏洞!獲取存儲許可就能遠程偷拍「附自查代碼」
  谷歌告訴Fast Company,早在7月,它就解決了“受影響的谷歌設備”,也就是Pixel手機的問題。三星表示,“我們已經發(fā)布了修補程序,以解決這個可能會影響三星所有設備型號的漏洞”,但三星沒有透露何時發(fā)布了這一修復程序。
 
  谷歌在聲明中表示“其補丁也已提供給所有合作伙伴”,但它沒有透露其他制造商的任何安卓設備目前是否仍然會受到影響,也就是Pixel以外的安卓手機。不幸的是,根據Checkmarx的說法,某些設備可能仍然存在問題,
 
  目前該問題僅限于安卓手機,蘋果的iOS設備不會受到影響。
 
  三、目前已發(fā)布檢測代碼
 
  Checkmarx推測應用程序無需用戶許可即可訪問相機,可能與谷歌決定將相機與谷歌 Assistant配合使用的決定有關,其他制造商也可能已經實現了該功能。
 
  外媒arstechnica目前公布了檢測這一漏洞的代碼。
 
  1、命令將強制手機拍攝視頻:
 
  $ adb shell am start-activity -n
 
  com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez
 
  extra_turn_screen_on true -a android.media.action.VIDEO_CAMERA –ez
 
  android.intent.extra.USE_FRONT_CAMERA true
 
  2、以下命令將強制手機拍照:
 
  $ adb shell am start-activity -n
 
  com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez
 
  extra_turn_screen_on true -a android.media.action.STILL_IMAGE_CAMERA –
 
  -ez android.intent.extra.USE_FRONT_CAMERA true –ei
 
  android.intent.extra.TIMER_DURATION_SECONDS 3
 
  這種攻擊類型不太可能針對絕大多數安卓用戶使用。盡管如此,根據將惡意應用程序植入Google Play商店的難易程度來看,實現這種目標對于一個執(zhí)著且經驗豐富的黑客而言,并不難。
 
  結語:隱私保護問題是智能手機重要關注點
 
  隨著當下智能手機的快速發(fā)展,手機的品類和功能都極大豐富。各種各樣的應用程序(app)充斥著手機屏幕,給用戶帶來極大便利的同時,也帶來了潛在的隱私風險。
 
  許多功能都是基于用戶數據作為“原料”來運作的,因此就需要有獲取數據的權限,目前用戶授權已經做的比較成熟,授權的類別也已經非常細致,但是上文中的漏洞正是通過偽造了權限展現形式,欺騙用戶從而得到授權。
 
  當下,用戶面對這種漏洞還是相對無力的,所以各大手機廠商,尤其是系統(tǒng)提供商,應當將用戶數據隱私保護放在首要位置,盡快解決這一問題。離開了基本的數據安全,智能也無從談起。
 
  原文來自:Fastcompany,macrumors,arstechnica

   投稿郵箱:chuanbeiol@163.com   詳情請訪問川北在線:http://fishbao.com.cn/

川北在線-川北全搜索版權與免責聲明
①凡注明"來源:XXX(非在線)"的作品,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責,本網不承擔此類稿件侵權行為的連帶責任。
②本站所載之信息僅為網民提供參考之用,不構成任何投資建議,文章觀點不代表本站立場,其真實性由作者或稿源方負責,本站信息接受廣大網民的監(jiān)督、投訴、批評。
③本站轉載純粹出于為網民傳遞更多信息之目的,本站不原創(chuàng)、不存儲視頻,所有視頻均分享自其他視頻分享網站,如涉及到您的版權問題,請與本網聯系,我站將及時進行刪除處理。



圖庫
合作媒體
金寵物 綠植迷
法律顧問:ITLAW-莊毅雄律師