你在不知不觉中已经被自己的手机偷拍了！亿万手机用户被漏洞坑死！

专家在Google和Samsung提供的Android摄像头应用程序中发现了多个漏洞（CVE-2019-2234），这些漏洞可能允许攻击者监视用户。

网络安全Checkmarx的专家发现，谷歌和三星提供的Android摄像头应用程序中存在多个漏洞，黑客可能利用这些漏洞来监视亿万用户。

漏洞被统一跟踪为CVE-2019-2234，攻击者可以利用它们进行多项活动，包括录制视频，拍照，录制语音电话，跟踪用户的位置。

漏洞可能被威胁利用演员们甚至如果手机已锁定且屏幕已关闭。

研究人员最初分析了Google的Pixel2和Pixel3设备，然后将他们的发现扩展到了三星手机上的相机应用程序。

“这是可能的任何应用程序，没有具体的权限，以控制为Android开发的谷歌相机应用程序，并迫使其采取的照片和/或录制视频，即使手机被锁定，屏幕是关闭的。”读报告由Checkmarx发布。“在向Google披露了这些发现之后，他们与其他Android制造商共享了该报告，三星证实了其智能手机中也存在该漏洞。根据Google的说法，其他OEM也证实了这些缺陷，并将其影响范围扩大到了全球数以亿计的Android用户。”

该漏洞使受害者手机上安装的恶意应用程序可以控制存在于Google和Samsung设备上的相机应用程序，并在没有任何特殊许可的情况下监视用户。

专家的分析重点放在安装在Google智能手机（com.google.android.GoogleCamera软件包）上的摄像头应用程序中，以搜索任何漏洞。

研究人员操纵了特定的动作和意图，发现攻击者可以控制GoogleCamera应用程序使用未经许可的恶意应用程序来拍照和/或录制视频。

专家还发现，在特定条件下，攻击者可以绕过各种存储权限策略，以访问存储的视频和照片，以及嵌入在照片中的GPS元数据以通过拍摄照片或视频并分析相关的EXIF数据来定位用户。

专家们开发了PoC天气应用程序没有特定的权限，它与攻击者的服务器建立了持久的连接，该服务器能够从目标电话中窃取任何类型的数据，即使关闭了恶意应用程序也是如此。 研究人员于7月初向Google报告了这些漏洞，该公司确认已于同月发布了针对这些漏洞的安全补丁。三星也证实已经解决了这个问题。

本文转自【安全时代】

原文链接: https://www.agesec.com/8987.html