你好,歡迎來(lái)到川北在線
微信
騰訊微博
新浪微博
安卓被曝嚴(yán)重漏洞 獲取存儲(chǔ)許可就能遠(yuǎn)程偷拍附自查代碼
時(shí)間:2019-11-20 23:32   來(lái)源:今日頭條   責(zé)任編輯:毛青青
  原標(biāo)題:安卓被曝嚴(yán)重漏洞 獲取存儲(chǔ)許可就能遠(yuǎn)程偷拍附自查代碼
 
  Checkmarx公司發(fā)現(xiàn)谷歌和三星等公司的安卓智能手機(jī)存在安全漏洞,可以借此錄制視頻,拍照和捕獲音頻,然后在未經(jīng)用戶許可的情況下將內(nèi)容上傳到遠(yuǎn)程服務(wù)器。
 
  三星表示已經(jīng)發(fā)布相關(guān)修復(fù)程序,但沒(méi)有明確時(shí)間,谷歌今年7月修復(fù)了Pixel系列手機(jī)的相關(guān)問(wèn)題,但是其他廠商的安卓機(jī)型仍然存在這一安全隱患。以下是外媒對(duì)相關(guān)問(wèn)題報(bào)道的原文編譯。
 
  一、獲取存儲(chǔ)許可即可拍照錄音
 
  安全公司Checkmarx研究人員今年年初發(fā)現(xiàn)了涉及安卓攝像頭應(yīng)用程序的嚴(yán)重缺陷。他們能夠創(chuàng)建一個(gè)概念驗(yàn)證(proof-of-concept)應(yīng)用程序,該應(yīng)用程序看起來(lái)像一個(gè)天氣應(yīng)用程序,只要求獲得訪問(wèn)安卓設(shè)備存儲(chǔ)的許可。
 
  通常安卓手機(jī)都會(huì)防止未經(jīng)用戶許可的應(yīng)用程序訪問(wèn)智能手機(jī)上的攝像頭和麥克風(fēng),所以會(huì)有權(quán)限授予的過(guò)程。但是這卻恰恰成為了漏洞所在。
 
  Checkmarx創(chuàng)建的這個(gè)概念驗(yàn)證應(yīng)用程序可以在未經(jīng)用戶明確許可的情況下使用攝像頭和麥克風(fēng)捕獲視頻和音頻,它所需要做的就是獲得訪問(wèn)設(shè)備存儲(chǔ)的權(quán)限,這通常是大多數(shù)應(yīng)用程序都需要的權(quán)限,因此很容易就被忽略了。
 
  利用這個(gè)漏洞,研究人員說(shuō)他們可以無(wú)聲地拍照、錄視頻、錄音頻、檢查手機(jī)是否朝下,記錄通話以及通過(guò)照片中包含的GPS數(shù)據(jù)訪問(wèn)設(shè)備的位置,即使關(guān)閉手機(jī)屏幕或關(guān)閉應(yīng)用程序,這些操作仍然可以實(shí)現(xiàn)。
 
  它能夠在隱身模式下運(yùn)行,消除相機(jī)的快門聲,并且還可以記錄雙向電話對(duì)話。盡管這個(gè)漏洞目前沒(méi)有被濫用的消息,但目前研究人員能夠?qū)⑺麄冇涗浀乃袃?nèi)容上傳到遠(yuǎn)程服務(wù)器。
 
  二、Pixel系列以外安卓機(jī)型仍存在風(fēng)險(xiǎn)
安卓爆安全漏洞!獲取存儲(chǔ)許可就能遠(yuǎn)程偷拍「附自查代碼」
  谷歌告訴Fast Company,早在7月,它就解決了“受影響的谷歌設(shè)備”,也就是Pixel手機(jī)的問(wèn)題。三星表示,“我們已經(jīng)發(fā)布了修補(bǔ)程序,以解決這個(gè)可能會(huì)影響三星所有設(shè)備型號(hào)的漏洞”,但三星沒(méi)有透露何時(shí)發(fā)布了這一修復(fù)程序。
 
  谷歌在聲明中表示“其補(bǔ)丁也已提供給所有合作伙伴”,但它沒(méi)有透露其他制造商的任何安卓設(shè)備目前是否仍然會(huì)受到影響,也就是Pixel以外的安卓手機(jī)。不幸的是,根據(jù)Checkmarx的說(shuō)法,某些設(shè)備可能仍然存在問(wèn)題,
 
  目前該問(wèn)題僅限于安卓手機(jī),蘋果的iOS設(shè)備不會(huì)受到影響。
 
  三、目前已發(fā)布檢測(cè)代碼
 
  Checkmarx推測(cè)應(yīng)用程序無(wú)需用戶許可即可訪問(wèn)相機(jī),可能與谷歌決定將相機(jī)與谷歌 Assistant配合使用的決定有關(guān),其他制造商也可能已經(jīng)實(shí)現(xiàn)了該功能。
 
  外媒arstechnica目前公布了檢測(cè)這一漏洞的代碼。
 
  1、命令將強(qiáng)制手機(jī)拍攝視頻:
 
  $ adb shell am start-activity -n
 
  com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez
 
  extra_turn_screen_on true -a android.media.action.VIDEO_CAMERA –ez
 
  android.intent.extra.USE_FRONT_CAMERA true
 
  2、以下命令將強(qiáng)制手機(jī)拍照:
 
  $ adb shell am start-activity -n
 
  com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez
 
  extra_turn_screen_on true -a android.media.action.STILL_IMAGE_CAMERA –
 
  -ez android.intent.extra.USE_FRONT_CAMERA true –ei
 
  android.intent.extra.TIMER_DURATION_SECONDS 3
 
  這種攻擊類型不太可能針對(duì)絕大多數(shù)安卓用戶使用。盡管如此,根據(jù)將惡意應(yīng)用程序植入Google Play商店的難易程度來(lái)看,實(shí)現(xiàn)這種目標(biāo)對(duì)于一個(gè)執(zhí)著且經(jīng)驗(yàn)豐富的黑客而言,并不難。
 
  結(jié)語(yǔ):隱私保護(hù)問(wèn)題是智能手機(jī)重要關(guān)注點(diǎn)
 
  隨著當(dāng)下智能手機(jī)的快速發(fā)展,手機(jī)的品類和功能都極大豐富。各種各樣的應(yīng)用程序(app)充斥著手機(jī)屏幕,給用戶帶來(lái)極大便利的同時(shí),也帶來(lái)了潛在的隱私風(fēng)險(xiǎn)。
 
  許多功能都是基于用戶數(shù)據(jù)作為“原料”來(lái)運(yùn)作的,因此就需要有獲取數(shù)據(jù)的權(quán)限,目前用戶授權(quán)已經(jīng)做的比較成熟,授權(quán)的類別也已經(jīng)非常細(xì)致,但是上文中的漏洞正是通過(guò)偽造了權(quán)限展現(xiàn)形式,欺騙用戶從而得到授權(quán)。
 
  當(dāng)下,用戶面對(duì)這種漏洞還是相對(duì)無(wú)力的,所以各大手機(jī)廠商,尤其是系統(tǒng)提供商,應(yīng)當(dāng)將用戶數(shù)據(jù)隱私保護(hù)放在首要位置,盡快解決這一問(wèn)題。離開(kāi)了基本的數(shù)據(jù)安全,智能也無(wú)從談起。
 
  原文來(lái)自:Fastcompany,macrumors,arstechnica

   投稿郵箱:chuanbeiol@163.com   詳情請(qǐng)?jiān)L問(wèn)川北在線:http://m.sanmuled.cn/

川北在線-川北全搜索版權(quán)與免責(zé)聲明
①凡注明"來(lái)源:XXX(非在線)"的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),本網(wǎng)不承擔(dān)此類稿件侵權(quán)行為的連帶責(zé)任。
②本站所載之信息僅為網(wǎng)民提供參考之用,不構(gòu)成任何投資建議,文章觀點(diǎn)不代表本站立場(chǎng),其真實(shí)性由作者或稿源方負(fù)責(zé),本站信息接受廣大網(wǎng)民的監(jiān)督、投訴、批評(píng)。
③本站轉(zhuǎn)載純粹出于為網(wǎng)民傳遞更多信息之目的,本站不原創(chuàng)、不存儲(chǔ)視頻,所有視頻均分享自其他視頻分享網(wǎng)站,如涉及到您的版權(quán)問(wèn)題,請(qǐng)與本網(wǎng)聯(lián)系,我站將及時(shí)進(jìn)行刪除處理。



圖庫(kù)
合作媒體
金寵物 綠植迷
法律顧問(wèn):ITLAW-莊毅雄律師