你在不知不覺中已經被自己的手機偷拍了!億萬手機用戶被漏洞坑死!
專家在Google和Samsung提供的Android攝像頭應用程序中發現了多個漏洞(CVE-2019-2234),這些漏洞可能允許攻擊者監視用戶。
網路安全Checkmarx的專家發現,谷歌和三星提供的Android攝像頭應用程序中存在多個漏洞,黑客可能利用這些漏洞來監視億萬用戶。
漏洞被統一跟蹤為CVE-2019-2234,攻擊者可以利用它們進行多項活動,包括錄製視頻,拍照,錄製語音電話,跟蹤用戶的位置。
漏洞可能被威脅利用演員們甚至如果手機已鎖定且屏幕已關閉。
研究人員最初分析了Google的Pixel2和Pixel3設備,然後將他們的發現擴展到了三星手機上的相機應用程序。
「這是可能的任何應用程序,沒有具體的許可權,以控制為Android開發的谷歌相機應用程序,並迫使其採取的照片和/或錄製視頻,即使手機被鎖定,屏幕是關閉的。」讀報告由Checkmarx發布。「在向Google披露了這些發現之後,他們與其他Android製造商共享了該報告,三星證實了其智能手機中也存在該漏洞。根據Google的說法,其他OEM也證實了這些缺陷,並將其影響範圍擴大到了全球數以億計的Android用戶。」
該漏洞使受害者手機上安裝的惡意應用程序可以控制存在於Google和Samsung設備上的相機應用程序,並在沒有任何特殊許可的情況下監視用戶。
專家的分析重點放在安裝在Google智能手機(com.google.android.GoogleCamera軟體包)上的攝像頭應用程序中,以搜索任何漏洞。
研究人員操縱了特定的動作和意圖,發現攻擊者可以控制GoogleCamera應用程序使用未經許可的惡意應用程序來拍照和/或錄製視頻。
專家還發現,在特定條件下,攻擊者可以繞過各種存儲許可權策略,以訪問存儲的視頻和照片,以及嵌入在照片中的GPS元數據以通過拍攝照片或視頻並分析相關的EXIF數據來定位用戶。
專家們開發了PoC天氣應用程序沒有特定的許可權,它與攻擊者的伺服器建立了持久的連接,該伺服器能夠從目標電話中竊取任何類型的數據,即使關閉了惡意應用程序也是如此。 研究人員於7月初向Google報告了這些漏洞,該公司確認已於同月發布了針對這些漏洞的安全補丁。三星也證實已經解決了這個問題。
本文轉自【安全時代】
原文鏈接: https://www.agesec.com/8987.html