写点什么

Android 相机 App 被曝漏洞,影响数亿谷歌和三星用户

  • 2019-11-20
  • 本文字数:945 字

    阅读完需:约 3 分钟

Android相机App被曝漏洞,影响数亿谷歌和三星用户

19 日,网络安全公司 Checkmarx 在官网发表一篇博文,指出谷歌和三星设备中的 Android 相机 App 存在安全漏洞,该漏洞可能被黑客用来监视数亿用户



据了解,该漏洞被命名为 CVE-2019-2234。通过漏洞,黑客可以进行多项活动,包括利用受害者的手机拍照、录制视频、录制语音电话和跟踪用户位置。


更严重的是,即使用户手机被锁,并且屏幕关闭,攻击者依然可以利用这些安全漏洞。


Checkmarx的安全研究团队首先对谷歌 Pixel 2 和 Pixel 3 手机进行分析。然后,他们又分析了三星手机上的相机 App。


“无需任何特殊权限,攻击者就可以控制为 Android 开发的相机 App,并强制它拍照或录制视频,即使手机被锁且屏幕关闭也能进行。”Checkmarx 在文章中写道。


Checkmarx 进一步披露:


漏洞能让受害者手机上安装的恶意应用程序控制谷歌和三星设备上的相机 App,并在未经任何特殊许可的情况下监视用户。


在研究过程中,安全研究团队将分析重点放在谷歌智能手机安装的相机 App 上,搜索任何可能存在的安全漏洞。


研究人员一旦实施”特定的动作“,就会发现攻击者使用未经许可的恶意应用程序可以控制谷歌相机 App,实施拍照或录制视频。


并且,他们还发现:在特定条件下,攻击者可以绕过各种存储权限策略,访问设备中存储的视频和照片,并基于照片中的 GPS 数据定位用户。



Checkmarx 的实验视频截图


此外,安全研究人员设计了一款天气应用程序,进行概念验证(PoC)。只需基本的存储权限,就能进行攻击。



Checkmarx 的实验视频截图


在实验中,研究人员打开天气 App 后,它就能连接到 C2 服务器,并等待下一步命令。利用它,研究人员成功地操纵相机 App 拍照,录制视频。具体的实验过程,Checkmarx 已经拍成视频并上传至 Youtube。



Checkmarx 的实验视频截图


通过这款天气 App,攻击者可以执行以下功能:


  • 操控受害者的手机来拍照,并将照片上传至 C2 服务器;

  • 操控受害者的手机来录制视频,并将视频上传至 C2 服务器;

  • 解析照片数据,获取 GPS 信息,并定位手机位置;

  • 拍照和录制视频时,让手机保持静音


据悉,Checkmarx 此前已经向谷歌报告漏洞问题,谷歌也通知了其他 Android 制造商。


根据谷歌的说法,其他 OEM 也证实该安全漏洞,全球数以亿计的 Android 用户会受到影响。


不过,值得欣慰的是,安全研究人员在 7 月份向谷歌报告此事后,谷歌当月已经发布了安全补丁。


2019-11-20 16:211876
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 380.8 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

InDesign 2024 for mac(页面设计和版面应用程序)

展初云

adobe Mac软件 InDesign 2024 下载 InDesign

基于数据中台的过程看板助力光伏单晶行业管理提升

用友BIP

数据中台

Mac系统下Datagrip打不开、点击没反应?

秃头小帅oi

物理机和云服务器到底哪个好

Geek_f19a80

服务器

登上CHINA DAILY!用友向全球展现中国数智力量

用友BIP

企业数智化

异构集成:财务共享如何成为数据聚合、分发的控制枢纽

用友BIP

财务共享

CPU 程序性能优化

MegEngineBot

性能优化 cpu 硬件 编译器

什么是软件定制开发?|app网站小程序定制

Geek_16d138

网站建设 app定制开发 软件定制开发

关于圆通物流在AppLink上的操作

RestCloud

APPlink

在小红书认识不到一周,我和TA成为了同事

用友BIP

智能招聘

oneAPI & OpenVINO™ 联合开发者大会开启:英特尔持续开源创新,助力 AI 开发落地

E科讯

Luminar Neo 创意图像编辑工具 支持M1

加油,小妞!

图像处理 Luminar Neo下载

轻松一刻|Walrus CLI与CI/CD工具集成,轻松部署2048游戏

SEAL安全

游戏 CI/CD Walrus 企业号11月PK榜

浅析建筑行业财务管理数智化转型

用友BIP

企业数智化

【Spring Cloud 】基于微服务架构的智慧工地云平台源码带APP

源码星辰

智慧工地 智慧工地云平台

如何基于亚马逊云科技打造高性能的 SQL 向量数据库 MyScale

亚马逊云科技 (Amazon Web Services)

机器学习 深度学习 存储 Amazon EC2 向量数据库

Amazon EC2 新手初探:创建第一个 EC2 实例

王强

Amazon EC2 亚马逊云服务

「一体化信息建设」,江苏人社如何完成数据安全管控(成果篇)

BinTools图尔兹

运维 数据安全 数据库管理 数据库操作

业内首发!用友BIP全球司库助力大型企业实现虚假贸易“零容忍”!

用友BIP

全球司库 虚假贸易

编程和数学计算软件MATLAB R2023b for Mac v23.2.0

展初云

matlab Mac软件 MATLAB R2023b

数据库大事记

小齐写代码

OmniGraffle Pro 思维导图工具 密钥激活 附 安装教程

加油,小妞!

mac思维导图 OmniGraffle Pro下载

7天!早鸟票免费倒计时!2023开放原子开发者大会等你来!

开放原子开源基金会

Java 开源 程序员 开发者大会 C++

喜讯!云起无垠入选《2023年中国AIGC创新企业榜》

云起无垠

The Foundry Nuke 15 for Mac(电影特效合成软件)

展初云

Mac nuke 特效合成软件

OmniGraffle Pro 7 for mac(绘图软件)

展初云

Mac OmniGraffle Pro 专业绘图软件

Android相机App被曝漏洞,影响数亿谷歌和三星用户_安全_万佳_InfoQ精选文章