當前位置:資訊 > 正文

Android漏洞讓應用能秘密錄制視頻?

2019-11-20 09:25:58  來源:新浪科技

北京時間11月20日早間消息,安全公司Checkmarx發現,谷歌和三星等公司的Android智能手機存在一個安全漏洞,讓惡意應用無需用戶許可就能錄制視頻、拍攝照片和捕獲音頻,并將內容上傳到遠程服務器,這個漏洞有可能會讓高價值目標的周邊環境被智能手機非法記錄。

Android本應阻止應用在未經用戶許可的情況下訪問智能手機攝像頭和麥克風,但這個漏洞能讓應用無需獲得用戶的明確許可,只需獲得訪問設備存儲空間的權限,即可使用攝像頭和麥克風來捕獲視頻和音頻,而這通常是大多數應用要求獲得的權限。

為了搞清楚這個漏洞是如何運作的,Checkmarx開發了一個概念驗證應用,表面上看起來像是個天氣應用,但實際上在后臺收集大量數據。測試發現,即使手機屏幕或應用處于關閉狀態,這個應用也可以拍攝照片和錄制視頻,還可以訪問照片中的位置數據。該應用能在“隱形”模式下運行,消除相機快門的聲音,還可以錄制雙向電話通話,并可將所有數據上傳到遠程服務器。

在測試人員利用這個漏洞進行攻擊時,被攻擊的智能手機的屏幕會在錄制視頻或拍照時顯示攝像頭,以便讓受影響的用戶知道發生了什么。這個漏洞可以在智能手機顯示屏看不見或設備屏幕朝下時被秘密利用,而且可以使用一項功能,利用近距離傳感器來確定智能手機何時屏幕朝下。

谷歌通過7月發布的攝像頭更新解決了Pixel手機中的這個漏洞,三星也修復了該漏洞,但具體時間還不清楚。谷歌對此表示:“我們很感謝Checkmarx讓我們注意到這一點,并與谷歌和Android的合作伙伴協調披露了相關消息。這個問題已經在受影響的谷歌設備上得到解決,我們在2019年7月對谷歌相機應用進行了Play Store更新。我們還已向所有合作伙伴提供了一個補丁。”

三星則表示:“自收到谷歌有關這個問題的通知以來,我們已在隨后發布補丁,以解決所有可能受影響三星設備的問題。我們非常重視與Android團隊的合作,這讓我們能夠直接識別和解決這個問題。”

根據Checkmarx的說法,谷歌表示其他廠商的Android手機也可能受到攻擊,但尚未披露具體的制造商和手機型號。

由于這是個Android漏洞,因此蘋果公司的iOS設備不會受到該漏洞的影響。

目前還不清楚為什么應用能在未獲用戶許可的情況下訪問攝像頭。Checkmarx推測,這可能與谷歌決定讓攝像頭與谷歌人工智能助理服務Google Assistant配合運行有關,而其他廠商可能也已啟用這一功能。(唐風)

推薦閱讀

電子煙巨頭Juul遭起訴l欺騙性營銷

北京時間11月20日早間消息,紐約總檢察長萊蒂蒂亞·詹姆斯(Letitia James)周二宣布對電子煙公司Juul提起新的訴訟,稱該公司通過欺騙性廣告 【詳細】

京東零售集團CEO徐雷調侃陳生強、王振輝西裝革履:穿著像做商務的

11月19日上午消息,在2019京東全球科技探索者大會上,京東零售集團CEO徐雷在現場調侃陳生強和王振輝,著裝像做商務的。此前,京東進行了整 【詳細】

法拉第未來CEO卡斯滕·布雷特菲爾德:目前面臨兩個障礙 其中一個是賈躍亭

新浪科技訊 北京時間11月20日早間消息,兩個月前出任法拉第未來CEO的卡斯滕·布雷特菲爾德(Carsten Breitfeld)剛剛在洛杉磯車展上更新了 【詳細】

美參議員要求扎克伯格解釋為何臉書強行追蹤用戶位置數據

北京時間11月20日早間消息,據外媒報道,兩名參議員要求臉書尊重用戶的位置隱私選擇,不再記錄用戶的位置數據。在周二發出的一封信中,密蘇 【詳細】

蘋果CEO庫克:喬布斯的“不同凡響”理念依然植根于蘋果

北京時間11月20日早間消息,蘋果CEO蒂姆·庫克(Tim Cook)今天下午參加了在舊金山舉行的SalesforceDreamforce會議,他與Salesforce聯席CEO 【詳細】



科技新聞網版權
篮球比分90vs