Android漏洞允许任何应用无需权限即可拍照 录制视频并获取GPS位置


Android相机应用程序存在一个漏洞,该漏洞会影响数百万个设备 。受影响的Android设备可能允许其他应用记录媒体文件中的视频,拍照甚至是额外的GPS数据,而无需必需的权限 。Checkmarx的研究人员正在与Google和Samsung协作披露此漏洞 。研究人员指出,此漏洞会影响Google和韩国公司的相机应用程序 。它允许应用程序拍摄照片,录制视频甚至获取位置数据,而无需特殊权限 。
此Android Bug影响相机应用程序
该漏洞已注册为CVE-2019-2234,并影响自2019年7月以来未更新的Google Camera和Samsung Camera应用程序 。Bleeping Computer报告说Checkmarx研究人员发现了许多“可以组合使用该设备的相机的意图” 。为了拍照和录制视频 。为了录制视频,拍照或检测位置,应用需要以下权限:android.permission.CAMERA,android.permission.RECORD_AUDIO,android.permission.ACCESS_FINE_LOCATION和android.permission.ACCESS_COARSE_LOCATION 。
研究人员还注意到,具有“存储”权限的应用程序也可以使用相机应用程序 。“在Android智能手机上运行的恶意应用程序可以读取SD卡,不仅可以访问过去的照片和视频,而且可以通过这种新的攻击方法直接定向来发起(拍摄)新的照片和视频 。”研究人员指出 。“而且不止于此 。由于GPS元数据通常嵌入到照片中,因此攻击者可以利用这一事实通过拍摄照片或视频并解析适当的EXIF数据来定位用户 。”
这种行为是有害的,因为Android中的许多应用程序经常要求存储权限 。Checkmarx在其报告中指出,存储权限是Android智能手机上最常请求的权限之一 。“有大量具有合法用例的应用程序请求访问此存储,但对照片或视频没有特别的兴趣 。实际上,这是观察到的最常见的请求权限之一 。”
【Android漏洞允许任何应用无需权限即可拍照 录制视频并获取GPS位置】研究人员还设法创建了一个概念证明应用程序,该应用程序伪装为天气应用程序 。但是它悄悄地将图片,视频和电话录音发送到其指挥中心 。研究人员于2019年7月4日向Google报告了此漏洞,并在7月23日之前将其提升为``高''优先级 。该漏洞已于8月1日确认为Google,并于当月晚些时候确定三星的Camera应用程序也是受到影响 。据谷歌称,该漏洞已于2019年7月通过Google Play商店更新修复 。该补丁也已发布给其他供应商 。研究人员指出,所有Android用户都必须升级到最新的相机应用,以确保安全 。

    推荐阅读