1 安卓系统的相机App出现漏洞,数百万台安卓设备受到影响-德赢Vwin官网 网
0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

安卓系统的相机App出现漏洞,数百万台安卓设备受到影响

独爱72H 来源:猎云网 作者:猎云网 2019-11-20 16:07 次阅读

(文章来源:猎云网)

安卓系统的相机App中出现了一个新的漏洞,至少有数百万台安卓设备受到影响,这个漏洞导致其它App在没有获得必要权限的情况下可以拍摄视频、照片并从储存器中提取GPS数据。

安卓的App通常会开放照相等多项功能以供同一设备上的其它App使用,但是为了使用这些功能,其它App必须预先获得相应的权限。针对谷歌和三星,Checkmarx的研究人员在今天披露了一个新的漏洞,即使其它App没有获得谷歌App的权限,它们也一样可以拍照、录制视频或者获取设备位置。

这一漏洞被命名为CVE-2019-2234,据称,如果该问题在2019年7月之前未被解决,将会影响到谷歌相机和三星相机的正常使用。经过对谷歌Pixel的相机App的分析,Checkmarx研究人员发现许多权限结合在一起便可以操纵设备的相机,进而拍摄照片或录制视频。

一般而言,一款应用想要录制视频、拍摄照片或者获取设备位置,必须获得以下权限:安卓相机使用权限、安卓视录制权限、获取精确位置权限以及获取粗略位置权限。Checkmarx的研究人员发现具有“存储”权限的App竟然可以访问设备上SD卡的全部内容,同时该APP无需获得以上权限就可以使用相机App的所有开放功能。

“安卓智能手机上恶意运行的App可以读取SD卡,该App不仅可以访问已有的照片和视频,而且可以利用这种新的攻击方法定向启动相机,从而拍摄照片或录制视频。不仅如此,GPS的元数据通常会嵌入到照片中,攻击者可以利用这一点通过对拍摄照片或视频的EXIF数据稍加解析,便可以获取用户的定位。”

这显然是一个严重的问题,因为赛车游戏、流媒体服务甚至是天气预报等多种App会定期申请存储权限。“也许一些App还没有对照片或视频访问产生兴趣,但不可否认的是,大量的App都合理合法的范围内申请存储权限,而这是目前最普遍的被申请权限之一。”

更为糟糕的是,研究人员创建了一款伪装成天气类应用程序的概念App,该App竟然可以将照片、视频和电话录音悄无声息的发送回研究人员控制下的服务器。该漏洞十分危险,因为它可以允许没有应用权限的App执行以下操作:在手机锁定或屏幕关闭的情况下拍摄照片并录制视频。通过存储的照片提取GPS位置数据。即使在拍照和录制视频时,也能收听到双向对话。被勒索的潜在可能太大了!

将相机快门静音,让受害者在拍照时听不到声音。传输存储在SD卡中的历史视频和照片。Checkmarx于2019年7月4日向谷歌指出了该漏洞,7月23日,谷歌将此漏洞提升为“高危漏洞”级别。8月1日,谷歌证实了Checkmarx研究人员怀疑的漏洞的确存在,谷歌相机确实会影响其它搭载安卓系统的移动设备,该漏洞被命名为CVE-2019-2234。

8月下旬,谷歌确认三星设备的相机受到了影响,两家公司都批准了公开此漏洞的存在。谷歌公司称,相机应用程序中的漏洞已经在2019年7月修复并通过Google Play商店更新,同时也为其它供应商提供了补丁。“我们很感激Checkmarx引起了我们对这个问题的关注,并且与谷歌及安卓的供应商协商披露了这一问题。该问题已经在7月份解决,我们对Google Play商店的谷歌相机进行了更新,所有的合作伙伴都可以使用这个补丁。”

在这里,强烈建议所有用户将安卓系统升级到最新版本,以确保你的设备上使用的是最新的相机App。
(责任编辑:fqj)

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 安卓
    +关注

    关注

    5

    文章

    2126

    浏览量

    57144
  • 安全漏洞
    +关注

    关注

    0

    文章

    151

    浏览量

    16709
收藏 人收藏

    评论

    相关推荐

    11系统的RK3566主板搭建一体机

    我向给11系统的RK3566主板搭建一套显示器、电源拿来作为测试,怎么搭配好呢
    发表于 12-17 17:26

    纳视智能获数百万元种子轮融资

    近日,武汉纳视智能科技有限公司(纳视智能)宣布成功完成数百万元的种子轮融资。本轮融资由传新科创领投,资金将主要用于高精度微纳检测及微纳加工设备的研发与市场拓展。
    的头像 发表于 11-12 14:28 210次阅读

    APP开发中,如何使用加密芯片?

    加密芯片是一种专门设计用于保护信息安全的硬件设备,它通过内置的加密算法对数据进行加密和解密,以防止敏感数据被窃取或篡改。如下图HD-RK3568-IOT工控板,搭载ATSHA204A加密芯片,常用于有安全防护要求的工商业场景,下文将为大家介绍
    的头像 发表于 10-31 17:43 382次阅读
    <b class='flag-5'>安</b><b class='flag-5'>卓</b><b class='flag-5'>APP</b>开发中,如何使用加密芯片?

    AIC3262 CODEC能否在下运用?

    我们有多路音频混音应用需求(双路MIC. LINE IN, I2S 音源输入,耳机输出监听及混音后录音),针对混音还有通过DSP 作混响, 10段EQ应用, 该装置需要在环境下运行。不知TI AIC3262 CODEC能否在
    发表于 10-29 08:19

    工控机inbox系列有不支持32位app的吗?

    工控机 inbox系列有不支持32位app的吗
    发表于 07-24 06:59

    聚徽触控 - 工控机适用于哪些领域

    工控机,也被称为系统工业平板电脑或嵌入式触控一体机,是一种基于
    的头像 发表于 07-01 10:43 292次阅读

    浅析工控主板的优势

    工控主板作为专为工业控制领域设计的硬件平台,相较于普通商用主板,拥有诸多优势,以满足工业环境对稳定、可靠、长期运行的严格要求。以下是工控主板的主要优势分析:
    的头像 发表于 06-27 14:50 324次阅读

    谷歌15将提升对助听器支持,改善音频体验

    5 月 30 日,谷歌正式公布了 15 更新计划,将大幅度提升系统对助听器的支持程度,使其可与具备蓝牙 LE 音频技术的助听器无缝对
    的头像 发表于 05-30 15:11 1116次阅读

    谷歌正探索在设备上运行ChromeOS

     多年以来,谷歌为实现这两款操作系统的协同工作付出诸多努力,如 Chromebook 内置运行环境,允许其运行应用,反之则不可。
    的头像 发表于 05-14 10:12 410次阅读

    HarmonyOS NEXT上手体验:无法使用原生应用

    该博主强调,HarmonyOS NEXT 对原生的应用不再兼容,原因是本地数据过多可能导致用户体验不佳。“例如微信聊天记录、笔记软件等需要尽快找到解决方案,以确保用户尽可能少地受到影响。”
    的头像 发表于 04-15 14:22 1988次阅读

    华为鸿蒙系统怎么样 华为鸿蒙系统系统的区别

    和稳定性。与此同时,鸿蒙系统系统在架构、功能和生态系统方面都存在一些区别和特点,下面将详细探讨这些方面的差异。 首先,华为鸿蒙
    的头像 发表于 02-02 14:54 1711次阅读

    手机定制_基于天玑900的手机主板方案

    手机定制_基于天玑900的手机主板方案。5G手机方案是一款性能强劲的5G智能手机,采
    的头像 发表于 01-24 19:41 669次阅读
    <b class='flag-5'>安</b><b class='flag-5'>卓</b>手机定制_基于天玑900的手机<b class='flag-5'>安</b><b class='flag-5'>卓</b>主板方案

    鸿蒙系统的区别 鸿蒙系统有什么特别之处

    了分布式架构,可以在不同设备上实现无缝连接和协同工作。而系统采用的是集中式架构,设备之间的连接和协同工作相对较为困难。 鸿蒙
    的头像 发表于 01-18 11:45 1.2w次阅读

    鸿蒙系统的区别哪个好用

    的一些问题,如性能、隐私安全等。而系统是由谷歌开发和推广的移动设备操作系统,目前在全球范围内占据主导地位。 鸿蒙
    的头像 发表于 01-11 11:15 1927次阅读

    harmonyos和的区别

    的比较分析。 一、架构设计: HarmonyOS采用了分布式架构设计,可以应用于多种终端设备,从手机到智能家居、汽车等,实现设备之间的协同工作和资源共享。而
    的头像 发表于 01-10 17:55 3504次阅读