AICon 北京站 Keynote 亮点揭秘,想了解 Agent 智能体来就对了! 了解详情
写点什么

Android 相机 App 被曝漏洞,影响数亿谷歌和三星用户

  • 2019-11-20
  • 本文字数:945 字

    阅读完需:约 3 分钟

Android相机App被曝漏洞,影响数亿谷歌和三星用户

19 日,网络安全公司 Checkmarx 在官网发表一篇博文,指出谷歌和三星设备中的 Android 相机 App 存在安全漏洞,该漏洞可能被黑客用来监视数亿用户



据了解,该漏洞被命名为 CVE-2019-2234。通过漏洞,黑客可以进行多项活动,包括利用受害者的手机拍照、录制视频、录制语音电话和跟踪用户位置。


更严重的是,即使用户手机被锁,并且屏幕关闭,攻击者依然可以利用这些安全漏洞。


Checkmarx的安全研究团队首先对谷歌 Pixel 2 和 Pixel 3 手机进行分析。然后,他们又分析了三星手机上的相机 App。


“无需任何特殊权限,攻击者就可以控制为 Android 开发的相机 App,并强制它拍照或录制视频,即使手机被锁且屏幕关闭也能进行。”Checkmarx 在文章中写道。


Checkmarx 进一步披露:


漏洞能让受害者手机上安装的恶意应用程序控制谷歌和三星设备上的相机 App,并在未经任何特殊许可的情况下监视用户。


在研究过程中,安全研究团队将分析重点放在谷歌智能手机安装的相机 App 上,搜索任何可能存在的安全漏洞。


研究人员一旦实施”特定的动作“,就会发现攻击者使用未经许可的恶意应用程序可以控制谷歌相机 App,实施拍照或录制视频。


并且,他们还发现:在特定条件下,攻击者可以绕过各种存储权限策略,访问设备中存储的视频和照片,并基于照片中的 GPS 数据定位用户。



Checkmarx 的实验视频截图


此外,安全研究人员设计了一款天气应用程序,进行概念验证(PoC)。只需基本的存储权限,就能进行攻击。



Checkmarx 的实验视频截图


在实验中,研究人员打开天气 App 后,它就能连接到 C2 服务器,并等待下一步命令。利用它,研究人员成功地操纵相机 App 拍照,录制视频。具体的实验过程,Checkmarx 已经拍成视频并上传至 Youtube。



Checkmarx 的实验视频截图


通过这款天气 App,攻击者可以执行以下功能:


  • 操控受害者的手机来拍照,并将照片上传至 C2 服务器;

  • 操控受害者的手机来录制视频,并将视频上传至 C2 服务器;

  • 解析照片数据,获取 GPS 信息,并定位手机位置;

  • 拍照和录制视频时,让手机保持静音


据悉,Checkmarx 此前已经向谷歌报告漏洞问题,谷歌也通知了其他 Android 制造商。


根据谷歌的说法,其他 OEM 也证实该安全漏洞,全球数以亿计的 Android 用户会受到影响。


不过,值得欣慰的是,安全研究人员在 7 月份向谷歌报告此事后,谷歌当月已经发布了安全补丁。


2019-11-20 16:211817
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 374.5 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

收官!OceanBase第五届技术征文大赛获奖名单公布!

OceanBase 数据库

数据库 oceanbase

火山引擎DataTester:一次A/B测试,帮助产品分享率提升超20%

字节跳动数据平台

大数据 AB testing实战

Inspur KOS 龙蜥衍生版面向智慧新媒体转型的探索与实践 | 龙蜥案例

OpenAnolis小助手

龙蜥社区 CentOS迁移 浪潮信息 KOS 服务器操作系统

版本控制 | 设计师和美术人员的理想版本控制软件是?

龙智—DevSecOps解决方案

版本控制 版本控制软件

Getaverse入选KuCoin Labs首批孵化项目

Geek_Web3

#区块链# 元宇宙 web3

代码质量与安全 | 展望:2023年商业软件开发的五大关键目标

龙智—DevSecOps解决方案

静态代码分析

TiDB Operator升级

TiDB 社区干货传送门

实践案例 集群管理 管理与运维 安装 & 部署

Vue实现登录功能

Geek_7ubdnf

Vue

互联网医疗月度观察:规范化、合法化的网络售药新时代到来

易观分析

互联网医疗

企业真的需要一个私有化的即时通讯吗?

BeeWorks

企业移动应用APP是否能实现统一整合与管理呢?

BeeWorks

TiDB 生产集群与加密通讯TLS的辛酸苦辣 - 工具篇

TiDB 社区干货传送门

集群管理 管理与运维 备份 & 恢复

JDBC的基本概念

Geek_7ubdnf

Java

Hackathon特别策划 | 72小时灵感冲刺,创意就该这么玩

LigaAI

敏捷开发 研发管理 hackathon 黑客马拉松 企业号 1 月 PK 榜

TiDB Operator高可用配置

TiDB 社区干货传送门

集群管理 管理与运维 安装 & 部署

TiCDC 集群工作过程解析

TiDB 社区干货传送门

岁末年初再添佳誉丨Kyligence 荣获多个奖项及榜单认可

Kyligence

数据分析 多维数据库

【从零开始学爬虫】采集丁香医生新冠问答数据

前嗅大数据

数据采集 爬虫教程 爬虫案例 爬虫工具 爬虫技术

软件测试/测试开发 | 静态扫描体系集成

测试人

软件测试 持续集成 jenkins 自动化测试 测试开发

OpenMLDB v0.7.0 发布

第四范式开发者社区

人工智能 机器学习 开源 特征 数据库·

2022年IAA行业品类年度表现总结

易观分析

视频 IAA

如何理解鲁棒性?为什么robustness会翻译为鲁棒性?

九章云极DataCanvas

【1.6-1.13】写作社区优秀技术博文一览

InfoQ写作社区官方

热门活动

35张图,直观理解Stable Diffusion

OneFlow

人工智能 深度学习 Stable Diffusion

PyFlink 最新进展解读及典型应用场景介绍

Apache Flink

大数据 flink 实时计算

【UE虚幻引擎】手把手教学,UE新手打包全攻略!

3DCAT实时渲染

游戏开发 虚幻引擎 虚幻引擎5 UE5 游戏开发引擎

【Unity渲染】一文看懂!Unity通用渲染管线URP介绍

3DCAT实时渲染

Unity 渲染 实时云渲染 渲染服务 Unity3D

通过TiDB Operator升级TiDB集群

TiDB 社区干货传送门

集群管理 管理与运维 故障排查/诊断 安装 & 部署 扩/缩容

微信小程序实验案例:简易成语小词典

TiAmo

小程序 微信小程序

软件测试/测试开发 | 单元测试体系集成

测试人

软件测试 单元测试 自动化测试 JUnit 测试开发

【社区智慧合集】TiDB 相关 SQL 脚本大全

TiDB 社区干货传送门

Android相机App被曝漏洞,影响数亿谷歌和三星用户_安全_万佳_InfoQ精选文章