你在不知不覺中已經被自己的手機偷拍了！億萬手機用戶被漏洞坑死！

專家在Google和Samsung提供的Android攝像頭應用程序中發現了多個漏洞（CVE-2019-2234），這些漏洞可能允許攻擊者監視用戶。

網路安全Checkmarx的專家發現，谷歌和三星提供的Android攝像頭應用程序中存在多個漏洞，黑客可能利用這些漏洞來監視億萬用戶。

漏洞被統一跟蹤為CVE-2019-2234，攻擊者可以利用它們進行多項活動，包括錄製視頻，拍照，錄製語音電話，跟蹤用戶的位置。

漏洞可能被威脅利用演員們甚至如果手機已鎖定且屏幕已關閉。

研究人員最初分析了Google的Pixel2和Pixel3設備，然後將他們的發現擴展到了三星手機上的相機應用程序。

「這是可能的任何應用程序，沒有具體的許可權，以控制為Android開發的谷歌相機應用程序，並迫使其採取的照片和/或錄製視頻，即使手機被鎖定，屏幕是關閉的。」讀報告由Checkmarx發布。「在向Google披露了這些發現之後，他們與其他Android製造商共享了該報告，三星證實了其智能手機中也存在該漏洞。根據Google的說法，其他OEM也證實了這些缺陷，並將其影響範圍擴大到了全球數以億計的Android用戶。」

該漏洞使受害者手機上安裝的惡意應用程序可以控制存在於Google和Samsung設備上的相機應用程序，並在沒有任何特殊許可的情況下監視用戶。

專家的分析重點放在安裝在Google智能手機（com.google.android.GoogleCamera軟體包）上的攝像頭應用程序中，以搜索任何漏洞。

研究人員操縱了特定的動作和意圖，發現攻擊者可以控制GoogleCamera應用程序使用未經許可的惡意應用程序來拍照和/或錄製視頻。

專家還發現，在特定條件下，攻擊者可以繞過各種存儲許可權策略，以訪問存儲的視頻和照片，以及嵌入在照片中的GPS元數據以通過拍攝照片或視頻並分析相關的EXIF數據來定位用戶。

專家們開發了PoC天氣應用程序沒有特定的許可權，它與攻擊者的伺服器建立了持久的連接，該伺服器能夠從目標電話中竊取任何類型的數據，即使關閉了惡意應用程序也是如此。 研究人員於7月初向Google報告了這些漏洞，該公司確認已於同月發布了針對這些漏洞的安全補丁。三星也證實已經解決了這個問題。

本文轉自【安全時代】

原文鏈接: https://www.agesec.com/8987.html