Android系統被曝出一個嚴重的安全漏洞,可以讓應用程式繞過使用者許可,秘密錄製影片。
以色列安全公司Checkmarx,在研究Google智慧手機Pixel 2XL和Pixel 3的Google相機應用程式時,發現了這個漏洞,代號為CVE-2019-2234。除了Google手機之外,三星手機上也發現這樣的漏洞。三星是目前全球使用者數最多的安卓機廠商,系統底層的漏洞可能會影響數億人的資訊安全。
這個漏洞使得惡意應用程式無需使用者許可就能錄影片、拍照片,在你打電話時還會側錄聲音,並將這些內容上傳至特定伺服器。拍照或錄影片時,還會關閉智慧手機的聲音,這樣就不會有相機快門的聲音提醒使用者。此外,它還可以確定你的位置資訊:從拍攝的照片中捕捉GPS資訊,並使用這些標籤定位使用者的位置。更要命的是,無論智慧手機是否解鎖,都可以進行拍照和錄影。
所有這些都是在後台悄無聲息地進行的,使用者並不知情。
通常來說,Android會阻止應用程式在未經使用者許可的情況下去使用智慧手機鏡頭和麥克風,但這個漏洞的存在,使得應用程式可以輕鬆繞過使用者的許可。為了驗證這個漏洞,Checkmarx開發了一個天氣應用程式,這類應用程式在GooglePlay Store中一直很流行。這個應用程式不需要任何特殊的權限,只需獲得基本的權限,即可調用鏡頭和麥克風,從而進行上述那些有安全危險的操作。
這個應用程式與控制伺服器相連,使用者安裝並啟動應用程式後,它將創建與控制伺服器的持久連接,然後等待攻擊者的指令。
今年7月4日,Checkmarx向Google的Android安全團隊提交了關於這個漏洞的報告,Google最初將其的嚴重程度設置為中等,隨後調為高級。8月1日,Google證實了這些漏洞影響了更廣泛的Android生態系統,波及多家廠商,8月29日,三星證實該漏洞影響了他們的設備。
好在目前Google和三星都已修補了這一漏洞,在漏洞修復後,Google和三星向外界公佈了這一漏洞的消息。為了保證資訊安全,使用者可以更新到最新版本的Android操作系統。
據福布斯報導,網路威脅情報專家Ian Thornton-Trump對此表示,如果黑帽駭客發現了這個漏洞,他們可以很容易地將這項研究變現,獲得數十萬美元。他認為,雖然Google修復漏洞的速度很快,但鑑於漏洞的嚴重程度,Google是時候動用一些Project Zero(Google2014年宣佈的Internet安全計畫,團隊成員主要是Google內部頂尖安全工程師)的能力,來深入挖掘自家Android系統的問題,以提升安卓設備的安全性。
- 本文轉載自36kr
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!