Android 的一個缺陷允許應用程式使用智慧型手機的攝影機和麥克風監視您。他們可以在未經授權的情況下拍攝照片、錄製影片甚至您的對話。資料在用戶不知情的情況下直接傳輸到第三方伺服器。
Android 需要特定權限允許應用程式存取智慧型手機的攝影機和麥克風。然而,安全公司 Checkmarx 的研究人員發現的一個缺陷使得繞過權限並悄悄監視使用者成為可能。此漏洞有參考CVE-2019-2234 觸摸谷歌相機,三星相機應用程式以及其他品牌的潛在產品。作為概念驗證,Checkmarx 開發了一個天氣應用程序,與任何其他應用程式一樣,可以從 Play 商店下載。
安裝後,可以即使螢幕關閉也可以拍照和錄製視頻或智慧型手機被鎖定。否則,當惡意應用程式關閉時,該情況會正常進行。一切都謹慎進行,拍照時不會觸發閃光燈或發出聲音。此缺陷還允許從照片和視訊元資料中檢索 GPS 位置。攝影機並不是唯一受此漏洞影響的組件。
根據 Checkmarx 的說法,攻擊者還可以未經許可存取麥克風並錄音電話以及圍繞著用戶所說的一切。然後資料被傳輸到第三方伺服器。最後,還可以列出並恢復儲存在 SD 卡上的所有 JPG 照片或 MP4 影片。
另請閱讀——Android:一個安全漏洞可讓您監視所有通話
三星和谷歌已部署修復程序
Checkmarx 去年 7 月向Google和三星報告了其發現。 11 月 19 日發布該報告後,谷歌在一份聲明中表示,「該問題已透過部署到 Play 商店的更新得到解決。所有合作夥伴都可以使用修復程序。三星還表示,已對其所有智慧型手機應用了補丁,但未具體說明何時完成。
除了Google和三星之外,報告沒有具體說明哪些其他製造商可能受到此漏洞的影響,也沒有其他品牌確認受到影響。無論如何,Android 設備用戶應確保他們安裝了最新的系統和相機應用程式更新。
來源 :檢查馬克思
