Android曝重大安全漏洞:允许攻击者录制视频、监听通话
牛华网 奥特曼 2019-11-20

15

牛华网讯 北京时间11月20日消息,周二,网络安全公司Checkmarx发布了一份爆炸性的报告,称Android系统中存在一个重大的安全漏洞,它可以让恶意应用无需用户许可就能录制视频、拍摄照片和捕获音频,并将内容上传到远程服务器。

Android系统中的这个漏洞可以让攻击者在未经用户同意的情况下获得惊人的广泛手机权限,这个缺陷被称为CVE-2019-2234,它允许应用程序开发者以无与伦比的方式访问设备的摄像头,将用户的手机变成间谍设备。

原本,Android系统应该阻止恶意应用在未经用户许可的情况下访问智能手机的摄像头和麦克风,但是这个漏洞能够让应用无需获得用户的明确许可,只需获得访问设备存储空间的权限,便可以使用摄像头和麦克风来捕获视频和音频,而这通常是大多数应用发送请求,经过用户同意之后才会获得的权限。

据悉,攻击者可以使得相机快门静音,以隐藏其未经同意就录制视频和照片的事实,这些操作甚至可以在关闭恶意应用程序、关闭屏幕并锁定手机时执行。

这个漏洞还允许攻击者访问设备上存储的媒体,以及其库中照片和视频上的GPS数据,它还允许应用程序开发人员窃听通话双方的对话并录制音频。

为了验证事情的真实性,Checkmarx制作了一个类似应用,表面上来看,这个应用像是一个天气应用,但实际上它在后台收集大量数据。测试表明,即使Android手机屏幕或应用处于关闭状态,这个应用也可以拍摄照片和录制视频,还可以访问照片中的位置数据,甚至是监听您的通话。

根据Checkmarx的报告,该公司于7月初就因为这个漏洞与谷歌取得了联系。另外,三星证实,该公司8月下旬也受到这些漏洞的影响。

谷歌发言人在一份提供给Checkmarx的声明中表示:“我们感谢Checkmarx让我们注意到这一点,并与谷歌和Android合作伙伴合作协调披露了相关消息。这个问题已经在受影响的谷歌设备上得到解决,我们已经于2019年7月对谷歌相机应用进行了Play Store更新。同时,我们还已向所有合作伙伴提供了修补程序。”

Checkmarx安全研究主管Erez Yalon在给Arstechnica的一份声明中推测,这个漏洞可能是由于Google允许其语音助理访问设备的摄像头造成的。

除了谷歌和三星,目前不清楚还有多少其他Android手机制造商受到了这一漏洞的影响。(完)