主页 > 技术经验 > 正文

安卓被曝严重漏洞 获取存储许可就能远程偷拍附自查代码

2019-11-20 23:34来源:99科技综合编辑:顾澄

扫一扫

分享文章到微信

扫一扫

关注99科技网微信公众号

复制网址

  原标题:安卓被曝严重漏洞 获取存储许可就能远程偷拍附自查代码

  Checkmarx公司发现谷歌和三星等公司的安卓智能手机存在安全漏洞,可以借此录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。

  三星表示已经发布相关修复程序,但没有明确时间,谷歌今年7月修复了Pixel系列手机的相关问题,但是其他厂商的安卓机型仍然存在这一安全隐患。以下是外媒对相关问题报道的原文编译。

  一、获取存储许可即可拍照录音

  安全公司Checkmarx研究人员今年年初发现了涉及安卓摄像头应用程序的严重缺陷。他们能够创建一个概念验证(proof-of-concept)应用程序,该应用程序看起来像一个天气应用程序,只要求获得访问安卓设备存储的许可。

  通常安卓手机都会防止未经用户许可的应用程序访问智能手机上的摄像头和麦克风,所以会有权限授予的过程。但是这却恰恰成为了漏洞所在。

  Checkmarx创建的这个概念验证应用程序可以在未经用户明确许可的情况下使用摄像头和麦克风捕获视频和音频,它所需要做的就是获得访问设备存储的权限,这通常是大多数应用程序都需要的权限,因此很容易就被忽略了。

  利用这个漏洞,研究人员说他们可以无声地拍照、录视频、录音频、检查手机是否朝下,记录通话以及通过照片中包含的GPS数据访问设备的位置,即使关闭手机屏幕或关闭应用程序,这些操作仍然可以实现。

  它能够在隐身模式下运行,消除相机的快门声,并且还可以记录双向电话对话。尽管这个漏洞目前没有被滥用的消息,但目前研究人员能够将他们记录的所有内容上传到远程服务器。

  二、Pixel系列以外安卓机型仍存在风险

安卓爆安全漏洞!获取存储许可就能远程偷拍「附自查代码」

  谷歌告诉Fast Company,早在7月,它就解决了“受影响的谷歌设备”,也就是Pixel手机的问题。三星表示,“我们已经发布了修补程序,以解决这个可能会影响三星所有设备型号的漏洞”,但三星没有透露何时发布了这一修复程序。

  谷歌在声明中表示“其补丁也已提供给所有合作伙伴”,但它没有透露其他制造商的任何安卓设备目前是否仍然会受到影响,也就是Pixel以外的安卓手机。不幸的是,根据Checkmarx的说法,某些设备可能仍然存在问题,

  目前该问题仅限于安卓手机,苹果的iOS设备不会受到影响。

  三、目前已发布检测代码

  Checkmarx推测应用程序无需用户许可即可访问相机,可能与谷歌决定将相机与谷歌 Assistant配合使用的决定有关,其他制造商也可能已经实现了该功能。

  外媒arstechnica目前公布了检测这一漏洞的代码。

  1、命令将强制手机拍摄视频:

  $ adb shell am start-activity -n

  com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez

  extra_turn_screen_on true -a android.media.action.VIDEO_CAMERA –ez

  android.intent.extra.USE_FRONT_CAMERA true

  2、以下命令将强制手机拍照:

  $ adb shell am start-activity -n

  com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez

  extra_turn_screen_on true -a android.media.action.STILL_IMAGE_CAMERA –

  -ez android.intent.extra.USE_FRONT_CAMERA true –ei

  android.intent.extra.TIMER_DURATION_SECONDS 3

  这种攻击类型不太可能针对绝大多数安卓用户使用。尽管如此,根据将恶意应用程序植入Google Play商店的难易程度来看,实现这种目标对于一个执着且经验丰富的黑客而言,并不难。

  结语:隐私保护问题是智能手机重要关注点

  随着当下智能手机的快速发展,手机的品类和功能都极大丰富。各种各样的应用程序(app)充斥着手机屏幕,给用户带来极大便利的同时,也带来了潜在的隐私风险。

  许多功能都是基于用户数据作为“原料”来运作的,因此就需要有获取数据的权限,目前用户授权已经做的比较成熟,授权的类别也已经非常细致,但是上文中的漏洞正是通过伪造了权限展现形式,欺骗用户从而得到授权。

  当下,用户面对这种漏洞还是相对无力的,所以各大手机厂商,尤其是系统提供商,应当将用户数据隐私保护放在首要位置,尽快解决这一问题。离开了基本的数据安全,智能也无从谈起。

  原文来自:Fastcompany,macrumors,arstechnica

     投稿邮箱:jiujiukejiwang@163.com   详情访问99科技网:http://www.fun99.cn

相关推荐
微信边写边译安卓怎么打开 微信边写边译打开使 微信边写边译安卓怎么打开 微信边写边译打开使

原标题:微信边写边译安卓怎么打开 微信边写边译打开使图文教程 微信的边写

技术经验2022-04-18

支付宝被别人实名制了怎么办?不是本人的手机 支付宝被别人实名制了怎么办?不是本人的手机

原标题:支付宝被别人实名制了怎么办?不是本人的手机号可以注册支付宝吗?

技术经验2022-03-07

微信支付被限制多长时间可以恢复使用?微信支 微信支付被限制多长时间可以恢复使用?微信支

原标题:微信支付被限制多长时间可以恢复使用?微信支付被限制恢复使用时间

技术经验2022-02-07

知乎不被邀请回答怎么开启?知乎不被邀请回答的 知乎不被邀请回答怎么开启?知乎不被邀请回答的

原标题:知乎不被邀请回答怎么开启?知乎不被邀请回答的开启方法 很多多人不

技术经验2022-01-18

折叠屏手机被指伪需求 手机大厂趋之若鹜为哪般 折叠屏手机被指伪需求 手机大厂趋之若鹜为哪般

原标题:折叠屏手机被指伪需求 手机大厂趋之若鹜为哪般? 任 事物的出现

技术经验2022-01-05

为什么中国移动138、139号段被称为老板号,究竟 为什么中国移动138、139号段被称为老板号,究竟

原标题:为什么中国移动138、139号段被称为老板号,究竟怎么回事? 139、138是

技术经验2021-12-10

微软 Win 11 软件捆绑遭欧盟起诉:再次被指控存在 微软 Win 11 软件捆绑遭欧盟起诉:再次被指控存在

原标题:微软 Win 11 软件捆绑遭欧盟起诉:再次被指控存在垄断行为 近日,欧盟

技术经验2021-11-27

安全软件公司 McAfee 以 140 亿美元被收购 创始人已 安全软件公司 McAfee 以 140 亿美元被收购 创始人已

原标题:安全软件公司 McAfee 以 140 亿美元被收购 创始人已于 6 月身亡 安全软件

技术经验2021-11-09

剁手族请注意!被“双十一”促销垃圾短信轰炸 剁手族请注意!被“双十一”促销垃圾短信轰炸

原标题:剁手族请注意!被双十一促销垃圾短信轰炸 可拨这个电话举报 11月1

技术经验2021-11-07

Facebook被指已经意识到存在于其用户中的“问题使 Facebook被指已经意识到存在于其用户中的“问题使

原标题:Facebook被指已经意识到存在于其用户中的问题使用 据了解,《华尔街日

技术经验2021-11-07

头条资讯
推荐资讯
最近更新

99科技网—新锐科技媒体!
关于我们 | 联系我们 | 商务合作
寻求报道 | 免责声明 | 网站地图
申请友链 | 加入我们 | 意见反馈
投诉建议
通过E-mail将您的想法和建议发给我们
稿件投诉:jiujiukejiwang@163.com
合作网站:金宠物 绿植迷
联系我们
服务热线:400-8558-350
官方客服QQ:3443764770
微信公众号:jiujiukejiwang
Copyright © 2009-2024 99科技网—提供有价值的科技领域报道和服务 鄂ICP备2022010875号-1

鄂公网安备 42028102000210号