10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

Android 相机 App 被曝漏洞,影响数亿谷歌和三星用户

  • 2019-11-20
  • 本文字数:945 字

    阅读完需:约 3 分钟

Android相机App被曝漏洞,影响数亿谷歌和三星用户

19 日,网络安全公司 Checkmarx 在官网发表一篇博文,指出谷歌和三星设备中的 Android 相机 App 存在安全漏洞,该漏洞可能被黑客用来监视数亿用户



据了解,该漏洞被命名为 CVE-2019-2234。通过漏洞,黑客可以进行多项活动,包括利用受害者的手机拍照、录制视频、录制语音电话和跟踪用户位置。


更严重的是,即使用户手机被锁,并且屏幕关闭,攻击者依然可以利用这些安全漏洞。


Checkmarx的安全研究团队首先对谷歌 Pixel 2 和 Pixel 3 手机进行分析。然后,他们又分析了三星手机上的相机 App。


“无需任何特殊权限,攻击者就可以控制为 Android 开发的相机 App,并强制它拍照或录制视频,即使手机被锁且屏幕关闭也能进行。”Checkmarx 在文章中写道。


Checkmarx 进一步披露:


漏洞能让受害者手机上安装的恶意应用程序控制谷歌和三星设备上的相机 App,并在未经任何特殊许可的情况下监视用户。


在研究过程中,安全研究团队将分析重点放在谷歌智能手机安装的相机 App 上,搜索任何可能存在的安全漏洞。


研究人员一旦实施”特定的动作“,就会发现攻击者使用未经许可的恶意应用程序可以控制谷歌相机 App,实施拍照或录制视频。


并且,他们还发现:在特定条件下,攻击者可以绕过各种存储权限策略,访问设备中存储的视频和照片,并基于照片中的 GPS 数据定位用户。



Checkmarx 的实验视频截图


此外,安全研究人员设计了一款天气应用程序,进行概念验证(PoC)。只需基本的存储权限,就能进行攻击。



Checkmarx 的实验视频截图


在实验中,研究人员打开天气 App 后,它就能连接到 C2 服务器,并等待下一步命令。利用它,研究人员成功地操纵相机 App 拍照,录制视频。具体的实验过程,Checkmarx 已经拍成视频并上传至 Youtube。



Checkmarx 的实验视频截图


通过这款天气 App,攻击者可以执行以下功能:


  • 操控受害者的手机来拍照,并将照片上传至 C2 服务器;

  • 操控受害者的手机来录制视频,并将视频上传至 C2 服务器;

  • 解析照片数据,获取 GPS 信息,并定位手机位置;

  • 拍照和录制视频时,让手机保持静音


据悉,Checkmarx 此前已经向谷歌报告漏洞问题,谷歌也通知了其他 Android 制造商。


根据谷歌的说法,其他 OEM 也证实该安全漏洞,全球数以亿计的 Android 用户会受到影响。


不过,值得欣慰的是,安全研究人员在 7 月份向谷歌报告此事后,谷歌当月已经发布了安全补丁。


2019-11-20 16:211886
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 382.2 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

开放原子开发者大会 | 开源就是国际化,华为大力推动开源社区建设

新消费日报

解析$nextTick魔力,为啥大家都爱它?

京东科技开发者

云原生技术:实践探索与未来展望

不会算法。

人人都是智能体开发者!百度灵境矩阵打造国内最完整智能体生态

科技热闻

开班在即 | 测试开发线下高薪私教班助力你的职场晋升

测吧(北京)科技有限公司

测试

软件测试/测试开发/丨人工智能与测试开发沙龙(PPT和回放集锦)

测试人

人工智能 软件测试

人工智能与测试开发自动化沙龙(PPT和回放集锦)

霍格沃兹测试开发学社

软件测试/测试开发 | 测试开发线下高薪私教班助力你的职场晋升

测试人

人工智能 软件测试

XSKY SDS V6.3 版本发布:持续强化非结构化存储和管理能力

XSKY星辰天合

万界星空MES系统的十大核心功能

万界星空科技

数字化转型 MES系统 智能制造 mes 万界星空科技mes

企业级“RAS”的数据平台如何炼成?

极客天地

个人年度总结:大模型驱动技术的趋势洞察

Geek-yan

只需一个bitget钱包,让你的web3体验翻倍

鳄鱼视界

一分钟带你了解人工神经网络(ANN)

小齐写代码

全新升级!名企私教服务加盟全栈开发与自动化测试班,成就你的技术梦想

测吧(北京)科技有限公司

测试

瑶池数据库Serverless+AI训练营开营啦,参营享千元好礼

阿里云瑶池数据库

数据库 Serverless 阿里云; 阿里云瑶池数据库

高薪程序员的三大窍门,你准备好了吗?

飞算JavaAI开发助手

1688商品评论数据接口(1688.item_review)

tbapi

1688API接口 1688商品评论接口 1688商品评论数据接口 1688商品评价接口 1688商品评论API

测试开发 | 物流与供应链中的智能优化

测吧(北京)科技有限公司

测试

万界星空科技铜线MES、漆包线MES系统

万界星空科技

生产管理系统 智能制造 mes 漆包线mes 铜线mes

Mac电脑文献管理推荐 EndNote 21激活最新版

胖墩儿不胖y

Mac软件 文献管理工具 文献工具

CQ 社区版 V2.7.0 发布 | 数据源版本扩充、新增批量执行功能等

BinTools图尔兹

数据库 运维 数据安全 dba 数据库管理

测试开发 | 创业与人工智能的密切关系

测吧(北京)科技有限公司

测试

京东商品评论数据接口(JD.item_review)

tbapi

京东API接口 京东商品评论接口 京东商品评论内容接口 京东评论API接口

如何通过ETLCloud的API对接功能实现各种SaaS平台数据对接

谷云科技RestCloud

SaaS API ETL

测试用例设计方法六脉神剑——第六剑:心法至简,百家之长集成

京东科技开发者

石磊:BANI时代下,企业人才管理破局之道

用友BIP

智能招聘

测试开发 | 游戏开发中的人工智能创新:探索数字娱乐的未来

测吧(北京)科技有限公司

测试

Android相机App被曝漏洞,影响数亿谷歌和三星用户_安全_万佳_InfoQ精选文章