新德里:通過以色列間諜軟體Pegasus窺探的WhatsApp表明,智能手機已成為新時代的監視工具,現在,安全研究人員發現,智能手機中的自拍相機可以輕鬆監視您。
根據網路安全公司Checkmarx的安全研究人員Erez Yalon和Pedro Umbelino的說法,他們發現漏洞影響了諸如Google Pixel和Android生態系統中的某些三星設備等智能手機供應商的相機應用,對億萬智能手機產生了重大影響用戶。
谷歌和三星都發布了針對這些漏洞的安全補丁。
Yalon說:「我們的團隊擁有Google Pixel 2 XL和Pixel 3,並開始研究Google Camera應用,最終發現了多個與許可權繞過問題相關的漏洞。」
經過進一步挖掘,他們發現這些相同的漏洞影響了Android生態系統中其他智能手機供應商(即三星)的相機應用。
經過對Google Camera應用程序的詳細分析,該團隊發現,通過操縱特定的動作和意圖,攻擊者可以控制該應用程序通過未經許可的流氓應用程序拍攝照片和/或錄製視頻。
此外,他們發現某些攻擊情形使惡意行為者能夠規避各種存儲許可策略,從而使他們能夠訪問存儲的視頻和照片,以及「以及嵌入在照片中的GPS元數據,從而通過拍照或視頻來定位用戶」。
眾所周知,Android相機應用程序通常會將其照片和視頻存儲在SD卡上。由於照片和視頻是敏感的用戶信息,為了使應用程序能夠訪問它們,它需要特殊的許可權:存儲許可權。
「不幸的是,存儲許可權非常廣泛,這些許可權可以訪問整個SD卡。有大量具有合法用例的應用程序都要求訪問此存儲,但對照片或視頻沒有特別的興趣,研究人員說。
這意味著流氓應用程序可以在沒有特定攝影機許可權的情況下拍攝照片和/或視頻,並且只需要存儲許可權就可以使事情更進一步,並在拍攝後獲取照片和視頻。
此外,如果在相機應用程序中啟用了該位置,則惡意應用程序還可以訪問電話和用戶的當前GPS位置。
谷歌表示:「我們感謝Checkmarx提請我們注意此問題,並與Google和Android合作夥伴合作以協調披露。
該公司表示:「該問題已通過在2019年7月通過Play商店對Google Camera Application的更新對受影響的Google設備進行了解決。該補丁也已提供給所有合作夥伴。」
研究人員說,三星還修補了該漏洞。
該故事是從一家電訊公司的提要中發布的,未經修改。僅標題已更改。
