Android系统被曝出一个严重的安全漏洞,可以让应用程序绕过使用者许可,秘密录制影片。
以色列安全公司Checkmarx,在研究Google智能手机Pixel 2XL和Pixel 3的Google相机应用程序时,发现了这个漏洞,代号为CVE-2019-2234。除了Google手机之外,三星手机上也发现这样的漏洞。三星是目前全球使用者数最多的安卓机厂商,系统底层的漏洞可能会影响数亿人的资讯安全。
这个漏洞使得恶意应用程序无需使用者许可就能录影片、拍照片,在你打电话时还会侧录声音,并将这些内容上传至特定服务器。拍照或录影片时,还会关闭智能手机的声音,这样就不会有相机快门的声音提醒使用者。此外,它还可以确定你的位置资讯:从拍摄的照片中捕捉GPS资讯,并使用这些标签定位使用者的位置。更要命的是,无论智能手机是否解锁,都可以进行拍照和录影。
所有这些都是在后台悄无声息地进行的,使用者并不知情。
通常来说,Android会阻止应用程序在未经使用者许可的情况下去使用智能手机镜头和麦克风,但这个漏洞的存在,使得应用程序可以轻松绕过使用者的许可。为了验证这个漏洞,Checkmarx开发了一个天气应用程序,这类应用程序在GooglePlay Store中一直很流行。这个应用程序不需要任何特殊的权限,只需获得基本的权限,即可调用镜头和麦克风,从而进行上述那些有安全危险的操作。
这个应用程序与控制服务器相连,使用者安装并启动应用程序后,它将创建与控制服务器的持久连接,然后等待攻击者的指令。
今年7月4日,Checkmarx向Google的Android安全团队提交了关于这个漏洞的报告,Google最初将其的严重程度设置为中等,随后调为高级。8月1日,Google证实了这些漏洞影响了更广泛的Android生态系统,波及多家厂商,8月29日,三星证实该漏洞影响了他们的设备。
好在目前Google和三星都已修补了这一漏洞,在漏洞修复后,Google和三星向外界公布了这一漏洞的消息。为了保证资讯安全,使用者可以更新到最新版本的Android操作系统。
据福布斯报导,网络威胁情报专家Ian Thornton-Trump对此表示,如果黑帽骇客发现了这个漏洞,他们可以很容易地将这项研究变现,获得数十万美元。他认为,虽然Google修复漏洞的速度很快,但鉴于漏洞的严重程度,Google是时候动用一些Project Zero(Google2014年宣布的Internet安全计划,团队成员主要是Google内部顶尖安全工程师)的能力,来深入挖掘自家Android系统的问题,以提升安卓设备的安全性。
- 本文转载自36kr
