写点什么

Android 相机 App 被曝漏洞,影响数亿谷歌和三星用户

  • 2019-11-20
  • 本文字数:945 字

    阅读完需:约 3 分钟

Android相机App被曝漏洞,影响数亿谷歌和三星用户

19 日,网络安全公司 Checkmarx 在官网发表一篇博文,指出谷歌和三星设备中的 Android 相机 App 存在安全漏洞,该漏洞可能被黑客用来监视数亿用户



据了解,该漏洞被命名为 CVE-2019-2234。通过漏洞,黑客可以进行多项活动,包括利用受害者的手机拍照、录制视频、录制语音电话和跟踪用户位置。


更严重的是,即使用户手机被锁,并且屏幕关闭,攻击者依然可以利用这些安全漏洞。


Checkmarx的安全研究团队首先对谷歌 Pixel 2 和 Pixel 3 手机进行分析。然后,他们又分析了三星手机上的相机 App。


“无需任何特殊权限,攻击者就可以控制为 Android 开发的相机 App,并强制它拍照或录制视频,即使手机被锁且屏幕关闭也能进行。”Checkmarx 在文章中写道。


Checkmarx 进一步披露:


漏洞能让受害者手机上安装的恶意应用程序控制谷歌和三星设备上的相机 App,并在未经任何特殊许可的情况下监视用户。


在研究过程中,安全研究团队将分析重点放在谷歌智能手机安装的相机 App 上,搜索任何可能存在的安全漏洞。


研究人员一旦实施”特定的动作“,就会发现攻击者使用未经许可的恶意应用程序可以控制谷歌相机 App,实施拍照或录制视频。


并且,他们还发现:在特定条件下,攻击者可以绕过各种存储权限策略,访问设备中存储的视频和照片,并基于照片中的 GPS 数据定位用户。



Checkmarx 的实验视频截图


此外,安全研究人员设计了一款天气应用程序,进行概念验证(PoC)。只需基本的存储权限,就能进行攻击。



Checkmarx 的实验视频截图


在实验中,研究人员打开天气 App 后,它就能连接到 C2 服务器,并等待下一步命令。利用它,研究人员成功地操纵相机 App 拍照,录制视频。具体的实验过程,Checkmarx 已经拍成视频并上传至 Youtube。



Checkmarx 的实验视频截图


通过这款天气 App,攻击者可以执行以下功能:


  • 操控受害者的手机来拍照,并将照片上传至 C2 服务器;

  • 操控受害者的手机来录制视频,并将视频上传至 C2 服务器;

  • 解析照片数据,获取 GPS 信息,并定位手机位置;

  • 拍照和录制视频时,让手机保持静音


据悉,Checkmarx 此前已经向谷歌报告漏洞问题,谷歌也通知了其他 Android 制造商。


根据谷歌的说法,其他 OEM 也证实该安全漏洞,全球数以亿计的 Android 用户会受到影响。


不过,值得欣慰的是,安全研究人员在 7 月份向谷歌报告此事后,谷歌当月已经发布了安全补丁。


2019-11-20 16:211767
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 367.2 次阅读, 收获喜欢 1802 次。

关注

评论

发布
暂无评论
发现更多内容

目前主流的手机屏幕类型都有哪些

InfoQ IT百科

手机

4.25解锁OpenHarmony技术日!年度盛会,即将揭幕!

Anna

未来手机操作系统有哪些发展趋势

InfoQ IT百科

RAM运行内存是什么

InfoQ IT百科

手机

LCD和OLED屏幕有哪些异同

InfoQ IT百科

手机拍照算法和硬件哪个更重要

InfoQ IT百科

首届船海数据智能应用创新大赛赛事公告

科技热闻

iOS开发面试攻略(KVO、KVC、多线程、锁、runloop、计时器)

iOSer

ios iOS面试 ios开发 iOS面试题

手机硬件都有哪些

InfoQ IT百科

读书破万“卷”:国民阅读洞察2022

易观分析

阅读 文学

目前5G SoC 芯片技术成熟吗?

InfoQ IT百科

一文读懂PlatoFarm新经济模型以及生态进展

西柚子

即时通讯系统搭建IM聊天社交软件开发

a13823115807

一文读懂PlatoFarm新经济模型以及生态进展

小哈区块

CRM系统可以帮助改善客户体验吗?

低代码小观

CRM 客户关系管理 企业管理系统 CRM系统 客户关系管理系统

App和小程序有哪些区别?

InfoQ IT百科

外包学生管理系统详细架构设计文档

dan629xy

开发手机操作系统的难度有多大

InfoQ IT百科

苹果A13处理器在技术上有哪些创新?

InfoQ IT百科

APP评测的网站有哪些?

InfoQ IT百科

返璞归真,多方安全计算要回归到“安全”的本源考虑

易观分析

多方安全计算

终极套娃 2.0|云原生 PaaS 平台的可观测性实践分享

尔达Erda

微服务 云原生 可观测性 经验分享 实践

「查缺补漏」,DDD 核心概念梳理

悟空聊架构

DDD 领域驱动 4月日更 悟空聊架构 4月月更

目前主流的手机SOC芯片都有哪些?

InfoQ IT百科

手机 SOC 芯片

昊天旭辉签约长扬科技,携手共建工业互联网安全新生态

极客天地

Mini LED有哪些优势

InfoQ IT百科

手机处理器未来的发展趋势如何

InfoQ IT百科

为什么手机操作系统开始向多端融合方向发展

InfoQ IT百科

外包学生管理系统架构方案

Trent

架构文档 架构训练营

手机里的NPU可以起到什么作用

InfoQ IT百科

Android系统有哪些优缺点

InfoQ IT百科

Android相机App被曝漏洞,影响数亿谷歌和三星用户_安全_万佳_InfoQ精选文章