先发链接
https://m.toutiao.com/i676134623 ... n_tfs=&channel=安卓爆安全漏洞!获取存储许可就能远程偷拍「附自查代码」
11月20日消息,Checkmarx公司发现谷歌和三星等公司的安卓智能手机存在安全漏洞,可以借此录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。
三星表示已经发布相关修复程序,但没有明确时间,谷歌今年7月修复了Pixel系列手机的相关问题,但是其他厂商的安卓机型仍然存在这一安全隐患。以下是外媒对相关问题报道的原文编译。
一、获取存储许可即可拍照录音
安全公司Checkmarx研究人员今年年初发现了涉及安卓摄像头应用程序的严重缺陷。他们能够创建一个概念验证(proof-of-concept)应用程序,该应用程序看起来像一个天气应用程序,只要求获得访问安卓设备存储的许可。
通常安卓手机都会防止未经用户许可的应用程序访问智能手机上的摄像头和麦克风,所以会有权限授予的过程。但是这却恰恰成为了漏洞所在。
Checkmarx创建的这个概念验证应用程序可以在未经用户明确许可的情况下使用摄像头和麦克风捕获视频和音频,它所需要做的就是获得访问设备存储的权限,这通常是大多数应用程序都需要的权限,因此很容易就被忽略了。
利用这个漏洞,研究人员说他们可以无声地拍照、录视频、录音频、检查手机是否朝下,记录通话以及通过照片中包含的GPS数据访问设备的位置,即使关闭手机屏幕或关闭应用程序,这些操作仍然可以实现。
它能够在隐身模式下运行,消除相机的快门声,并且还可以记录双向电话对话。尽管这个漏洞目前没有被滥用的消息,但目前研究人员能够将他们记录的所有内容上传到远程服务器。
二、Pixel系列以外安卓机型仍存在风险
安卓爆安全漏洞!获取存储许可就能远程偷拍「附自查代码」
谷歌告诉Fast Company,早在7月,它就解决了“受影响的谷歌设备”,也就是Pixel手机的问题。三星表示,“我们已经发布了修补程序,以解决这个可能会影响三星所有设备型号的漏洞”,但三星没有透露何时发布了这一修复程序。
谷歌在声明中表示“其补丁也已提供给所有合作伙伴”,但它没有透露其他制造商的任何安卓设备目前是否仍然会受到影响,也就是Pixel以外的安卓手机。不幸的是,根据Checkmarx的说法,某些设备可能仍然存在问题,
目前该问题仅限于安卓手机,苹果的iOS设备不会受到影响。
三、目前已发布检测代码
iOS fly ~
iOS fly ~