主页 > 快资讯 > 科技说 > 正文

安卓被曝严重漏洞 获取存储许可就能远程偷拍附自查代码

2019-11-20 23:33:56来源:鹿财经综合编辑:毛青青

扫一扫

分享文章到微信

扫一扫

关注鹿财经网微信公众号

复制网址

  原标题:安卓被曝严重漏洞 获取存储许可就能远程偷拍附自查代码
 
  Checkmarx公司发现谷歌和三星等公司的安卓智能手机存在安全漏洞,可以借此录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。
 
  三星表示已经发布相关修复程序,但没有明确时间,谷歌今年7月修复了Pixel系列手机的相关问题,但是其他厂商的安卓机型仍然存在这一安全隐患。以下是外媒对相关问题报道的原文编译。
 
  一、获取存储许可即可拍照录音
 
  安全公司Checkmarx研究人员今年年初发现了涉及安卓摄像头应用程序的严重缺陷。他们能够创建一个概念验证(proof-of-concept)应用程序,该应用程序看起来像一个天气应用程序,只要求获得访问安卓设备存储的许可。
 
  通常安卓手机都会防止未经用户许可的应用程序访问智能手机上的摄像头和麦克风,所以会有权限授予的过程。但是这却恰恰成为了漏洞所在。
 
  Checkmarx创建的这个概念验证应用程序可以在未经用户明确许可的情况下使用摄像头和麦克风捕获视频和音频,它所需要做的就是获得访问设备存储的权限,这通常是大多数应用程序都需要的权限,因此很容易就被忽略了。
 
  利用这个漏洞,研究人员说他们可以无声地拍照、录视频、录音频、检查手机是否朝下,记录通话以及通过照片中包含的GPS数据访问设备的位置,即使关闭手机屏幕或关闭应用程序,这些操作仍然可以实现。
 
  它能够在隐身模式下运行,消除相机的快门声,并且还可以记录双向电话对话。尽管这个漏洞目前没有被滥用的消息,但目前研究人员能够将他们记录的所有内容上传到远程服务器。
 
  二、Pixel系列以外安卓机型仍存在风险
安卓爆安全漏洞!获取存储许可就能远程偷拍「附自查代码」
  谷歌告诉Fast Company,早在7月,它就解决了“受影响的谷歌设备”,也就是Pixel手机的问题。三星表示,“我们已经发布了修补程序,以解决这个可能会影响三星所有设备型号的漏洞”,但三星没有透露何时发布了这一修复程序。
 
  谷歌在声明中表示“其补丁也已提供给所有合作伙伴”,但它没有透露其他制造商的任何安卓设备目前是否仍然会受到影响,也就是Pixel以外的安卓手机。不幸的是,根据Checkmarx的说法,某些设备可能仍然存在问题,
 
  目前该问题仅限于安卓手机,苹果的iOS设备不会受到影响。
 
  三、目前已发布检测代码
 
  Checkmarx推测应用程序无需用户许可即可访问相机,可能与谷歌决定将相机与谷歌 Assistant配合使用的决定有关,其他制造商也可能已经实现了该功能。
 
  外媒arstechnica目前公布了检测这一漏洞的代码。
 
  1、命令将强制手机拍摄视频:
 
  $ adb shell am start-activity -n
 
  com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez
 
  extra_turn_screen_on true -a android.media.action.VIDEO_CAMERA –ez
 
  android.intent.extra.USE_FRONT_CAMERA true
 
  2、以下命令将强制手机拍照:
 
  $ adb shell am start-activity -n
 
  com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez
 
  extra_turn_screen_on true -a android.media.action.STILL_IMAGE_CAMERA –
 
  -ez android.intent.extra.USE_FRONT_CAMERA true –ei
 
  android.intent.extra.TIMER_DURATION_SECONDS 3
 
  这种攻击类型不太可能针对绝大多数安卓用户使用。尽管如此,根据将恶意应用程序植入Google Play商店的难易程度来看,实现这种目标对于一个执着且经验丰富的黑客而言,并不难。
 
  结语:隐私保护问题是智能手机重要关注点
 
  随着当下智能手机的快速发展,手机的品类和功能都极大丰富。各种各样的应用程序(app)充斥着手机屏幕,给用户带来极大便利的同时,也带来了潜在的隐私风险。
 
  许多功能都是基于用户数据作为“原料”来运作的,因此就需要有获取数据的权限,目前用户授权已经做的比较成熟,授权的类别也已经非常细致,但是上文中的漏洞正是通过伪造了权限展现形式,欺骗用户从而得到授权。
 
  当下,用户面对这种漏洞还是相对无力的,所以各大手机厂商,尤其是系统提供商,应当将用户数据隐私保护放在首要位置,尽快解决这一问题。离开了基本的数据安全,智能也无从谈起。
 
  原文来自:Fastcompany,macrumors,arstechnica
 

     投稿邮箱:lukejiwang@163.com   详情访问鹿财经网:http://www.lucaijing.com.cn

相关推荐
三星Galaxy S26+配置细节曝光:搭载第五代骁龙8至 三星Galaxy S26+配置细节曝光:搭载第五代骁龙8至

这段时间以来,有不少渠道表示,三星将在明年2月份推出年度旗舰Galaxy S26系列

科技说2025-12-04

代号哪吒!小米17 Ultra影像细节曝光:有望搭载国 代号哪吒!小米17 Ultra影像细节曝光:有望搭载国

9月26日,全新的小米17、小米17 Pro和小米17 Pro Max正式上市,今年相较于前几代发

科技说2025-12-04

12月登场!小米17 Ultra外观渲染图曝光:小米最强 12月登场!小米17 Ultra外观渲染图曝光:小米最强

9月26日,全新的小米17、小米17 Pro和小米17 Pro Max正式上市,今年相较于前几代发

科技说2025-12-04

vivo S50 Pro Mini配置细节曝光:搭载第五代骁龙8+ vivo S50 Pro Mini配置细节曝光:搭载第五代骁龙8+

熟悉vivo的用户都知道,vivo的S系列凭借超高的颜值和超强的人像拍摄能力,深受

科技说2025-12-03

一加Ace 6T外观细节曝光:采用iPhone同款灵动岛U 一加Ace 6T外观细节曝光:采用iPhone同款灵动岛U

10月27日,全新的一加Ace 6正式与大家见面,该机支持165/144/120/90/60全帧率段满帧

科技说2025-12-03

iPhone Air市场反响平平,安卓厂商纷纷放弃Air机型 iPhone Air市场反响平平,安卓厂商纷纷放弃Air机型

苹果最新发布的iPhone Air在全球市场并未引起太大波澜,这一现象导致安卓手机

科技说2025-12-02

vivo X300 Ultra影像配置曝光:搭载2亿像素主摄+50 vivo X300 Ultra影像配置曝光:搭载2亿像素主摄+50

10月13日,vivo X300系列正式发布,包含vivo X300和vivo X300 Pro两款机型,全球首发搭

科技说2025-12-02

小米17 Ultra影像细节曝光:小型多光谱传感器 视 小米17 Ultra影像细节曝光:小型多光谱传感器 视

9月26日,全新的小米17、小米17 Pro和小米17 Pro Max正式上市,今年相较于前几代发

科技说2025-12-02

旗舰同款!vivo S50影像规格曝光:全系标配索尼 旗舰同款!vivo S50影像规格曝光:全系标配索尼

熟悉vivo的用户都知道,vivo的S系列凭借超高的颜值和超强的人像拍摄能力,深受

科技说2025-12-02

谷歌严打偷电安卓App:24小时内无正当后台唤醒超 谷歌严打偷电安卓App:24小时内无正当后台唤醒超

科技媒体 Android Authority 今天(11 月 11 日)发布博文,报道称谷歌发布了新的应

科技说2025-11-11

头条资讯
推荐资讯
最近更新
鹿财经网—新锐财经媒体!
关于我们 | 联系我们 | 商务合作
寻求报道 | 免责声明 | 网站地图
申请友链 | 加入我们 | 意见反馈
投诉建议
通过E-mail将您的想法和建议发给我们
稿件投诉:jiujiukejiwang@163.com
合作网站:学习迷 宠物经 绿植迷 女邦网
联系我们
服务热线:400-8558-350
官方客服QQ:3443764770
微信公众号:lucaijingwang
有态度·有温度·有深度

有态度·有温度·有深度

Copyright © 2002-2025 鹿财经 粤ICP备2022102098号-2 深圳蜂牛科技有限公司版权所有

浙公网安备 33052102000515号