赞助商家(广告位:+1678-685-8086)

你在不知不觉中已经被自己的手机偷拍了!亿万手机用户被漏洞坑死!

专家在Google和Samsung提供的Android摄像头应用程序中发现了多个漏洞(CVE-2019-2234),这些漏洞可能允许攻击者监视用户。

网络安全Checkmarx的专家发现,谷歌和三星提供的Android摄像头应用程序中存在多个漏洞,黑客可能利用这些漏洞来监视亿万用户。

漏洞被统一跟踪为CVE-2019-2234,攻击者可以利用它们进行多项活动,包括录制视频,拍照,录制语音电话,跟踪用户的位置。

漏洞可能被威胁利用演员们甚至如果手机已锁定且屏幕已关闭。

Image result for android camera CVE-2019-2234

研究人员最初分析了Google的Pixel2和Pixel3设备,然后将他们的发现扩展到了三星手机上的相机应用程序。

“这是可能的任何应用程序,没有具体的权限,以控制为Android开发的谷歌相机应用程序,并迫使其采取的照片和/或录制视频,即使手机被锁定,屏幕是关闭的。”读报告由Checkmarx发布。“在向Google披露了这些发现之后,他们与其他Android制造商共享了该报告,三星证实了其智能手机中也存在该漏洞。根据Google的说法,其他OEM也证实了这些缺陷,并将其影响范围扩大到了全球数以亿计的Android用户。”

该漏洞使受害者手机上安装的恶意应用程序可以控制存在于Google和Samsung设备上的相机应用程序,并在没有任何特殊许可的情况下监视用户。

专家的分析重点放在安装在Google智能手机(com.google.android.GoogleCamera软件包)上的摄像头应用程序中,以搜索任何漏洞。

研究人员操纵了特定的动作和意图,发现攻击者可以控制GoogleCamera应用程序使用未经许可的恶意应用程序来拍照和/或录制视频。

Image result for android camera CVE-2019-2234

专家还发现,在特定条件下,攻击者可以绕过各种存储权限策略,以访问存储的视频和照片,以及嵌入在照片中的GPS元数据以通过拍摄照片或视频并分析相关的EXIF数据来定位用户。

专家们开发了PoC天气应用程序没有特定的权限,它与攻击者的服务器建立了持久的连接,该服务器能够从目标电话中窃取任何类型的数据,即使关闭了恶意应用程序也是如此。 研究人员于7月初向Google报告了这些漏洞,该公司确认已于同月发布了针对这些漏洞的安全补丁。三星也证实已经解决了这个问题。

本文转自【安全时代】

原文链接: https://www.agesec.com/8987.html

本文由【北美海客生活网】整理编辑,原文转自安全时代,若有侵权敬请联系我们;图片取自网络,版权属于原作者。转载请注明出处!

相关商家(广告位:+1678-685-8086)

您可能还喜欢...

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注