0
安卓系統的開源設計,讓其成為了“盛產”漏洞的圣地。
據外媒GSMArena 11 月 20 日 報道,安全研究人員找到了一種通過訪問手機存儲空間就可以繞過Android權限的方法。
也就是說,通過這個漏洞,攻擊者就可以控制用戶手機中的應用程序,在不需要獲取用戶同意的情況下就可以拍攝照片或錄制視頻。
這樣看來,活像身邊潛伏了一個內鬼,隨時隨地把自己主演的不能言說的照片或者學習小視頻傳回給手機背后的“眼睛”。
也許,有一天不小心逛論壇,發現熱點視頻主角竟然是自己,或者,突然有一天郵箱收到神秘來客的“要錢通知”,不給錢就把照片或者視頻發給所有手機聯系人。
想想都“闊怕”。更可怕的是這個漏洞早在今年7月就已經發現了該漏洞,隨后谷歌證實了漏洞的存在,并將其命名為CVE-2019-2234。但直至11月,這個漏洞才終于被解決。
那么,這個漏洞是如何黑你的隱私的?
通常,Android相機通常會將照片、視頻存放在SD卡上,因為照片和視頻涉及到用戶隱私,所以一般情況下,訪問SD卡需要特殊權限——存儲權限,而存儲權限非常廣泛,很多應用程序都需要使用這個權限,有一些流氓應用程序可以在沒有特定相機權限的情況下拍攝照片和視頻,甚至可以訪問手機用戶的GPS位置。
通過這種方式,黑客可以創建一個惡意應用程序獲取儲訪問權限,并從那里獲取相機應用程序的權限而無需用戶許可。
可怕的是,這種惡意APP不僅可以訪問用戶過去的照片和視頻,還可以隨意啟動相機拍攝新的照片和視頻。此外,由于GPS數據通常都嵌入到照片中中,因此黑客還可以通過拍攝照片或視頻解析EXIF數據來獲取用戶數據。
值得注意的是,Checkmarx研究人員還找到一種方法,即使手機被鎖定或屏幕被關閉,流氓應用也可以強制相機應用程序拍照和錄制視頻。
谷歌在聲明中表示“其補丁已提供給所有合作伙伴”,但它沒有透露其他制造商的任何安卓設備目前是否仍然會受到影響,也就是Pixel以外的安卓手機。不幸的是,根據Checkmarx的說法,某些設備可能仍然存在問題。
目前該問題僅限于安卓手機,蘋果的iOS設備不會受到影響。
如果說在你毫無察覺的時候,手機攝像頭就被開啟用來監視你的生活,這可能就是現代的《楚門的世界》 了。現在擺在我們面前的只有兩條路,一是及時更新系統,二是換個設備。
雷鋒網年度評選——尋找19大行業的最佳AI落地實踐
創立于2017年的「AI最佳掘金案例年度榜單」,是業內首個人工智能商業案例評選活動。雷鋒網從商用維度出發,尋找人工智能在各個行業的最佳落地實踐。
第三屆評選已正式啟動,關注微信公眾號“雷鋒網”,回復關鍵詞“榜單”參與報名。詳情可咨詢微信號:xqxq_xq
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
