前段时间日本女星因自拍瞳孔暴露地址遭惨遭跟踪的热度还没过去。
人们再次处于照片泄露个人信息的威协之中。
Android的相机近期曝出了漏洞,这次不仅是照片泄露地址。
还有可能在你已经锁屏的情况下悄悄录制视频。
想想也太恐怖了。
没有权限也能打开相机
安卓系统的相机App中出现了一个新的漏洞,至少有数百万台安卓设备受到影响,这个漏洞导致其它App在没有获得必要权限的情况下可以拍摄视频、照片并从储存器中提取GPS数据。
安卓的App通常会开放照相等多项功能以供同一设备上的其它App使用,但是为了使用这些功能,其它App必须预先获得相应的权限。
针对Google和三星,Checkmarx的研究人员在今天披露了一个新的漏洞,即使其它App没有获得Google App的权限,它们也一样可以拍照、录制视频或者获取设备位置。
一般情况下,当你新下载一个应用程序,安装之后第一次打开就会有各种各样的权限请求,包括联系人、地理位置、录制视频和拍照等。随着人们安全意识的提高,很多人都不愿意提供这些权限,而是选择拒绝提供,但是这并不代表着就能高枕无忧了。
没有授权依然能够悄悄录制视频?
这一切都是源于Android系统自带的相机中的一个新漏洞,该漏洞会导致手机上的其它应用程序在获得相机授权的情况下录制视频、拍照以及获取位置数据。
该漏洞名为CVE-2019-2234,研究人员在进行实验后发现,可以结合特制的应用程序来操控Android设备的拍照和录制视频功能。
至于这个特制的应用程序是什么呢?它是由研究人员制作的一个天气类App,只要将其安装在Android手机上,就可以将照片、视频和录音悄悄发回研究人员的控制和命令服务器。
那么只要犯罪分子想利用此漏洞,只需要任何开发一个任意类型的App,一旦Android手机安装之后,就可以为所欲为了。
影响和解决
悄无声息的最可怕。
该漏洞十分危险,因为它可以允许没有应用权限的App执行以下操作:
1.在手机锁定或屏幕关闭的情况下拍摄照片并录制视频。
2.通过存储的照片提取GPS位置数据。
3.即使在拍照和录制视频时,也能收听到双向对话。被勒索的潜在可能太大了!
4.将相机快门静音,让受害者在拍照时听不到声音。
5.传输存储在SD卡中的历史视频和照片。
攻机者利用该漏洞可以控制受害者的相机,在拍照时静音,没有一点声音,你的照片和视频就发送到犯罪分子的服务器上了。
即使在手机锁屏的情况下,攻机者依然可以打开拍照和录制视频的功能。
现在大多数智能手机的拍照功能都会自动存储GPS位置,那么受害者的详细地址也会很轻松被暴露。
此外,再加上者可以将SD卡中的历史照片和数据传输到攻机者的服务器上,泄露的数据只会更多。
研究人员于今年7月向Google报告了此漏洞,Google将此漏洞定为高危级别,并通过Google Play商店发布了更新修复,并向其它Android供应商提供了补丁程序。
Checkmarx于2019年7月4日向Google指出了该漏洞,7月23日,Google将此漏洞提升为“高危漏洞”级别。
8月1日,Google证实了Checkmarx研究人员怀疑的漏洞的确存在,Google相机确实会影响其它搭载安卓系统的移动设备,该漏洞被命名为CVE-2019-2234。
8月下旬,Google确认三星设备的相机受到了影响,两家公司都批准了公开此漏洞的存在。
Google公司称,相机应用程序中的漏洞已经在2019年7月修复并通过Google Play商店更新,同时也为其它供应商提供了补丁。
“我们很感激Checkmarx引起了我们对这个问题的关注,并且与Google及安卓的供应商协商披露了这一问题。该问题已经在7月份解决,我们对Google Play商店的Google相机进行了更新,所有的合作伙伴都可以使用这个补丁。”
在这里,强烈建议所有用户将安卓系统升级到最新版本,以确保你的设备上使用的是最新的相机App。
文章参考:Android被曝严重漏洞:让应用能秘密录制视频、监听通话
最后在这里小编也分享一份自己收录整理的Android学习PDF+架构视频+面试文档+源码笔记,还有高级架构技术进阶脑图、Android开发面试专题资源,高级进阶架构资料帮助大家学习提升进阶,也节省大家在网上搜索资料的时间来学习,也可以分享给身边好友一起学习。