据网络安全公司Checkmarx发布的一个安卓重大安全漏洞,Android应用程序可以在用户不知情的情况下拍照和记录对话。
该安全漏洞危害
这个被称为CVE-2019-2234的漏洞使应用程序开发人员能够无与伦比地访问设备的摄像头,从而将用户的手机变成间谍设备。Checkmarx能够通过其创建的假冒天气应用程序发现所有这些漏洞。黑客可以使相机快门静音,以隐藏未经许可即录制视频和照片的事实。甚至在关闭恶意应用程序,关闭屏幕并锁定手机的情况下,也可以采取这些措施。该漏洞还可以使黑客访问设备上存储的媒体以及其库中照片和视频上的GPS数据。而且,它使应用程序开发人员可以在电话交谈的两侧进行监听并记录音频。
另外,更甚者,手机的接近传感器可用于让黑客知道何时将手机举起到用户耳边以进行电话通话或何时手机面朝下躺着,以便在拍照或录制视频时无法检测到打开的相机应用程序。如果用户授予了应用访问设备存储的权限,攻击者甚至可以将图像和视频从手机上传到服务器。
该漏洞的发现
网络安全公司Checkmarx于夏天在研究Google Pixel 2 XL和Pixel 3上的Google Camera应用程序时首先发现了该漏洞。进一步的调查发现Android生态系统中其他智能手机供应商的相机应用程序中存在相同的漏洞。
该漏洞最令人震惊的方面之一是,攻击者无需用户允许该应用程序就可以访问手机的摄像头和麦克风。利用该漏洞的病毒会强制打开iPhone的相机,也无需用户权限许可。
根据Checkmarx的报告,该漏洞于7月初首次与Google联系。三星也证实,它也在八月下旬受到了漏洞的影响。两家公司均于本月认可了Checkmarx报告的发布。 Google发言人在提供给Checkmarx的一份声明中表示:非常感谢Checkmarx引起我们的注意,并与Google和Android合作伙伴合作以协调披露。 该问题已通过2019年7月Google Play商店对Google Camera Application的更新在受影响的Google设备上得到解决。所有合作伙伴都已获得了补丁。
据悉,该漏洞可能是由于Google授予其语音助手访问设备摄像头的权限而引起的。 除了Google和Samsung,目前尚不清楚有多少其他Android手机制造商受此漏洞影响。
不过,即使只有Google和Samsung这两家公司,此漏洞也足以影响影响全球数亿智能手机用户。目前,Android设备所有者可以通过确保其智能手机已更新到最新版本的操作系统来修复该漏洞。