AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

Android 相机 App 被曝漏洞,影响数亿谷歌和三星用户

  • 2019-11-20
  • 本文字数:945 字

    阅读完需:约 3 分钟

Android相机App被曝漏洞,影响数亿谷歌和三星用户

19 日,网络安全公司 Checkmarx 在官网发表一篇博文,指出谷歌和三星设备中的 Android 相机 App 存在安全漏洞,该漏洞可能被黑客用来监视数亿用户



据了解,该漏洞被命名为 CVE-2019-2234。通过漏洞,黑客可以进行多项活动,包括利用受害者的手机拍照、录制视频、录制语音电话和跟踪用户位置。


更严重的是,即使用户手机被锁,并且屏幕关闭,攻击者依然可以利用这些安全漏洞。


Checkmarx的安全研究团队首先对谷歌 Pixel 2 和 Pixel 3 手机进行分析。然后,他们又分析了三星手机上的相机 App。


“无需任何特殊权限,攻击者就可以控制为 Android 开发的相机 App,并强制它拍照或录制视频,即使手机被锁且屏幕关闭也能进行。”Checkmarx 在文章中写道。


Checkmarx 进一步披露:


漏洞能让受害者手机上安装的恶意应用程序控制谷歌和三星设备上的相机 App,并在未经任何特殊许可的情况下监视用户。


在研究过程中,安全研究团队将分析重点放在谷歌智能手机安装的相机 App 上,搜索任何可能存在的安全漏洞。


研究人员一旦实施”特定的动作“,就会发现攻击者使用未经许可的恶意应用程序可以控制谷歌相机 App,实施拍照或录制视频。


并且,他们还发现:在特定条件下,攻击者可以绕过各种存储权限策略,访问设备中存储的视频和照片,并基于照片中的 GPS 数据定位用户。



Checkmarx 的实验视频截图


此外,安全研究人员设计了一款天气应用程序,进行概念验证(PoC)。只需基本的存储权限,就能进行攻击。



Checkmarx 的实验视频截图


在实验中,研究人员打开天气 App 后,它就能连接到 C2 服务器,并等待下一步命令。利用它,研究人员成功地操纵相机 App 拍照,录制视频。具体的实验过程,Checkmarx 已经拍成视频并上传至 Youtube。



Checkmarx 的实验视频截图


通过这款天气 App,攻击者可以执行以下功能:


  • 操控受害者的手机来拍照,并将照片上传至 C2 服务器;

  • 操控受害者的手机来录制视频,并将视频上传至 C2 服务器;

  • 解析照片数据,获取 GPS 信息,并定位手机位置;

  • 拍照和录制视频时,让手机保持静音


据悉,Checkmarx 此前已经向谷歌报告漏洞问题,谷歌也通知了其他 Android 制造商。


根据谷歌的说法,其他 OEM 也证实该安全漏洞,全球数以亿计的 Android 用户会受到影响。


不过,值得欣慰的是,安全研究人员在 7 月份向谷歌报告此事后,谷歌当月已经发布了安全补丁。


2019-11-20 16:211827
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 375.9 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

私有化部署AI智能客服,解放企业成本,提升服务效率

BeeWorks

TuGraph Analytics图计算快速上手之弱联通分量算法

TuGraphAnalytics

图计算 WCC 连通分量

我和极客时间的故事

法医

我和极客时间的故事

PCE模型,FomoCat为何发起反Web3空气资产的社区试验

股市老人

WorkPlus企业内部聊天软件,如何保障企业数据和信息的安全性?

BeeWorks

Bitquiz重塑Learn to Earn热潮,用户零投入让学习创造价值

股市老人

Python - 字典3

小万哥

Python 程序员 软件 后端 开发

低代码技术这么香,怎么把它的开发特点发挥到极致?

陈橘又青

低代码 无代码开发 无代码 低代码平台 无代码平台

虚拟机是什么

芯动大师

2023 Visual Studio Code 插件推荐:18 个提高开发效率的常用插件

小万哥

程序员 前端 vscode 后端 编辑器

Python - 字典4

小万哥

Python 程序员 软件 后端 开发

低代码开发平台实现思路探索:JNPF

互联网工科生

低代码 JNPF

探索低代码技术

树上有只程序猿

软件开发 低代码 JNPF

产品经理必备的14款需求管理工具推荐!

彭宏豪95

效率 软件 产品经理 需求管理 软件需求管理

声音传送门|TinyEngine 低代码引擎使用建议收集

OpenTiny社区

开源 前端 低代码

构建高性能物联网数据平台:EMQX和CnosDB的完整教程

CnosDB

开源 时序数据库 emqx CnosDB

ES6新特性(一)

阡陌r

JavaScript ES6 模板字符串 解构赋值

以数智化指标管理,驱动光伏能源行业的市场推进

Kyligence

绿色能源 数据管理

Apache IoTDB v1.2.2 发布|增加 flink-sql-connector、tsfile 文件级级联传输等功能

Apache IoTDB

WorkPlus即时通讯办公软件,助力企业实现移动化办公

BeeWorks

出海 SaaS 企业增长修炼手册:聊聊 PLG 的关键指标、技术栈和挑战

Kyligence

数据分析 指标管理

Android相机App被曝漏洞,影响数亿谷歌和三星用户_安全_万佳_InfoQ精选文章