Android安全缺陷使应用程序可以访问人们的摄像机以进行秘密的视频和音频录制。
谷歌和三星等公司的Android智能手机存在安全漏洞,允许恶意应用录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。该漏洞是由安全公司Checkmarx发现的,同时由Ars Technica重点指出。该漏洞有可能使高价值目标敞开,使其周围环境被智能手机非法记录。
据悉,利用此特殊漏洞,应用程序可以在未经用户明确许可的情况下使用摄像头和麦克风捕获视频和音频,而应用程序所需要做的仅仅是获得访问设备存储的权限。
谷歌通过7月发布的摄像头更新解决了其Pixel手机中的漏洞,三星还修复了该漏洞,但尚不清楚何时发布。谷歌方面表示:
“我们非常感谢Checkmarx引起我们的注意,并与Google和Android合作伙伴合作以协调披露。通过在2019年7月对Google Camera Application进行Play商店更新,在受影响的Google设备上解决了该问题。所有伙伴。”
三星方面则表明:
“自从Google收到有关此问题的通知以来,我们随后发布了补丁程序以解决可能受到影响的所有三星设备型号。我们重视与Android团队的合作关系,这使我们能够直接识别并解决此问题。”
根据Checkmarx的说法,谷歌曾表示,其他制造商的Android手机也可能容易受到攻击,因此那里仍有一些设备容易受到攻击。Google尚未透露具体的制造商和型号。
目前,仍尚未清楚应用程序无需用户许可即可访问相机的原因。Checkmarx 在致Ars Technica的电子邮件中推测,这可能与Google决定将相机与Google Assistant配合使用的决定有关,其他制造商也可能已经实现了该功能。
参考消息:https://www.macrumors.com/2019/11/19/android-camera-security-vulnerability/
