当前位置:资讯 > 正文

Android漏洞让应用能秘密录制视频?

2019-11-20 09:25:58  来源:新浪科技

北京时间11月20日早间消息,安全公司Checkmarx发现,谷歌和三星等公司的Android智能手机存在一个安全漏洞,让恶意应用无需用户许可就能录制视频、拍摄照片和捕获音频,并将内容上传到远程服务器,这个漏洞有可能会让高价值目标的周边环境被智能手机非法记录。

Android本应阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风,但这个漏洞能让应用无需获得用户的明确许可,只需获得访问设备存储空间的权限,即可使用摄像头和麦克风来捕获视频和音频,而这通常是大多数应用要求获得的权限。

为了搞清楚这个漏洞是如何运作的,Checkmarx开发了一个概念验证应用,表面上看起来像是个天气应用,但实际上在后台收集大量数据。测试发现,即使手机屏幕或应用处于关闭状态,这个应用也可以拍摄照片和录制视频,还可以访问照片中的位置数据。该应用能在“隐形”模式下运行,消除相机快门的声音,还可以录制双向电话通话,并可将所有数据上传到远程服务器。

在测试人员利用这个漏洞进行攻击时,被攻击的智能手机的屏幕会在录制视频或拍照时显示摄像头,以便让受影响的用户知道发生了什么。这个漏洞可以在智能手机显示屏看不见或设备屏幕朝下时被秘密利用,而且可以使用一项功能,利用近距离传感器来确定智能手机何时屏幕朝下。

谷歌通过7月发布的摄像头更新解决了Pixel手机中的这个漏洞,三星也修复了该漏洞,但具体时间还不清楚。谷歌对此表示:“我们很感谢Checkmarx让我们注意到这一点,并与谷歌和Android的合作伙伴协调披露了相关消息。这个问题已经在受影响的谷歌设备上得到解决,我们在2019年7月对谷歌相机应用进行了Play Store更新。我们还已向所有合作伙伴提供了一个补丁。”

三星则表示:“自收到谷歌有关这个问题的通知以来,我们已在随后发布补丁,以解决所有可能受影响三星设备的问题。我们非常重视与Android团队的合作,这让我们能够直接识别和解决这个问题。”

根据Checkmarx的说法,谷歌表示其他厂商的Android手机也可能受到攻击,但尚未披露具体的制造商和手机型号。

由于这是个Android漏洞,因此苹果公司的iOS设备不会受到该漏洞的影响。

目前还不清楚为什么应用能在未获用户许可的情况下访问摄像头。Checkmarx推测,这可能与谷歌决定让摄像头与谷歌人工智能助理服务Google Assistant配合运行有关,而其他厂商可能也已启用这一功能。(唐风)

推荐阅读

电子烟巨头Juul遭起诉l欺骗性营销

北京时间11月20日早间消息,纽约总检察长莱蒂蒂亚·詹姆斯(Letitia James)周二宣布对电子烟公司Juul提起新的诉讼,称该公司通过欺骗性广告 【详细】

京东零售集团CEO徐雷调侃陈生强、王振辉西装革履:穿着像做商务的

11月19日上午消息,在2019京东全球科技探索者大会上,京东零售集团CEO徐雷在现场调侃陈生强和王振辉,着装像做商务的。此前,京东进行了整 【详细】

法拉第未来CEO卡斯滕·布雷特菲尔德:目前面临两个障碍 其中一个是贾跃亭

新浪科技讯 北京时间11月20日早间消息,两个月前出任法拉第未来CEO的卡斯滕·布雷特菲尔德(Carsten Breitfeld)刚刚在洛杉矶车展上更新了 【详细】

美参议员要求扎克伯格解释为何脸书强行追踪用户位置数据

北京时间11月20日早间消息,据外媒报道,两名参议员要求脸书尊重用户的位置隐私选择,不再记录用户的位置数据。在周二发出的一封信中,密苏 【详细】

苹果CEO库克:乔布斯的“不同凡响”理念依然植根于苹果

北京时间11月20日早间消息,苹果CEO蒂姆·库克(Tim Cook)今天下午参加了在旧金山举行的SalesforceDreamforce会议,他与Salesforce联席CEO 【详细】



科技新闻网版权