新德里:通过以色列间谍软件Pegasus窥探的WhatsApp表明,智能手机已成为新时代的监视工具,现在,安全研究人员发现,智能手机中的自拍相机可以轻松监视您。
根据网络安全公司Checkmarx的安全研究人员Erez Yalon和Pedro Umbelino的说法,他们发现漏洞影响了诸如Google Pixel和Android生态系统中的某些三星设备等智能手机供应商的相机应用,对亿万智能手机产生了重大影响用户。
谷歌和三星都发布了针对这些漏洞的安全补丁。
Yalon说:“我们的团队拥有Google Pixel 2 XL和Pixel 3,并开始研究Google Camera应用,最终发现了多个与权限绕过问题相关的漏洞。”
经过进一步挖掘,他们发现这些相同的漏洞影响了Android生态系统中其他智能手机供应商(即三星)的相机应用。
经过对Google Camera应用程序的详细分析,该团队发现,通过操纵特定的动作和意图,攻击者可以控制该应用程序通过未经许可的流氓应用程序拍摄照片和/或录制视频。
此外,他们发现某些攻击情形使恶意行为者能够规避各种存储许可策略,从而使他们能够访问存储的视频和照片,以及“以及嵌入在照片中的GPS元数据,从而通过拍照或视频来定位用户”。
众所周知,Android相机应用程序通常会将其照片和视频存储在SD卡上。由于照片和视频是敏感的用户信息,为了使应用程序能够访问它们,它需要特殊的权限:存储权限。
“不幸的是,存储权限非常广泛,这些权限可以访问整个SD卡。有大量具有合法用例的应用程序都要求访问此存储,但对照片或视频没有特别的兴趣,研究人员说。
这意味着流氓应用程序可以在没有特定摄影机权限的情况下拍摄照片和/或视频,并且只需要存储权限就可以使事情更进一步,并在拍摄后获取照片和视频。
此外,如果在相机应用程序中启用了该位置,则恶意应用程序还可以访问电话和用户的当前GPS位置。
谷歌表示:“我们感谢Checkmarx提请我们注意此问题,并与Google和Android合作伙伴合作以协调披露。
该公司表示:“该问题已通过在2019年7月通过Play商店对Google Camera Application的更新对受影响的Google设备进行了解决。该补丁也已提供给所有合作伙伴。”
研究人员说,三星还修补了该漏洞。
该故事是从一家电讯公司的提要中发布的,未经修改。仅标题已更改。
