数百万 Android 装置的“相机”应用程序具有漏洞,可能会导致允许其他应用程序在没有权限的状况下拍摄照片、影片及读取所在位置。
一般状况下应用程序需要得到用户授予权限才能使用手机上的各种功能,或读取特定资料,但这个漏洞让应用程序可以突破限制。资讯安全软件 Checkmarx 与 Google 和三星(Samsung)合作中揭露了这个漏洞,这个名为 CVE-2019-2234 的安全漏洞会让应用程序在没有用户许可下拍摄照片、影片和读取装置位置。漏洞目前已确认会影响 Google“相机”App 和三星“相机”App,不过已经在 2019 年 7 月更新中修复,但未更新的装置漏洞还是会存在。
Checkmarx 研究人员分析了 Google Pixel 的“相机”App 之后,发现 App 会让其他具有储存权限的 App 不需要取得相机的权限就能使用拍照镜头。如果智能手机上有恶意程式获得储存权限,不只能取得过去拍摄的照片和影片,也能自动拍摄新的照片和影片。由于照片通常也附带有 GPS 数据,因此恶意程式能透过自动拍照来取得当下装置所在的位置。
这是一个严重的漏洞,因为有许多 App 都会取得储存权限,包括游戏、串流服务甚至连天气预报都会请求储存权限。Checkmarx 的报告指出,就他们的观察中储存权限是应用程序最常请求的权限。一旦骇客运用这个漏洞,即使手机在上锁状态照样能偷拍照和录影,甚至主动将相机快门静音,让受害用户不会发现手机正在自动拍照。
Checkmarx 在 7 月 4 日向 Google 告知这个漏洞,8 月 1 日 Google 也证实了研究人员的疑虑,8 月下旬确定三星的“相机”App 也受到了影响,两家厂商都批准公开这个漏洞。根据 Google 的说法,“相机”App 的漏洞已经在 2019 年 7 月利用 Google Play 应用程序商店的更新修补,也向其他 Android 系统的手机品牌提供了修补的更新程式。
如果还没更新到最新版本的 Android 装置用户建议尽速更新,确保不会遭到骇客恶意使用漏洞攻击。
- Android Camera App Bug Lets Apps Record Video Without Permission
- Google & Samsung fix Android spying flaw. Other makers may still be vulnerable
(首图来源:pixabay)
延伸阅读:
- Android 手机预装软件藏大量漏洞,导致 29 厂商中招
- Google 努力了 3 年,终于让 Android 手机的升级速度变快了些
- Chrome 浏览器被发现两个严重漏洞,其中一个已被利用
- 小心了!182 个“免费游戏”和“相机应用程序”夹带广告软件
