安卓被曝嚴重漏洞！攝像頭或被影響 被秘密調(diào)用偷拍

　　近日，以色列的安全公司“Checkmarx”曝光了他們曾在安卓系統(tǒng)中發(fā)現(xiàn)了漏洞“CVE-2019-2234”——惡意應(yīng)用只要獲得了基本的存儲訪問，就可以繞過用戶的許可，調(diào)用攝像頭和麥克風拍照、錄像、錄音。

　　Checkmarx的研究人員發(fā)現(xiàn)具有“存儲”權(quán)限的App竟然可以訪問設(shè)備上SD卡的全部內(nèi)容，同時該APP無需獲得以上權(quán)限就可以使用相機App的所有開放功能。

　　一般而言，一款應(yīng)用想要錄制視頻、拍攝照片或者獲取設(shè)備位置，必須獲得以下權(quán)限：安卓相機使用權(quán)限、安卓視錄制權(quán)限、獲取精確位置權(quán)限以及獲取粗略位置權(quán)限。

　　“安卓智能手機上惡意運行的App可以讀取SD卡，該App不僅可以訪問已有的照片和視頻，而且可以利用這種新的攻擊方法定向啟動相機，從而拍攝照片或錄制視頻。不僅如此，GPS的元數(shù)據(jù)通常會嵌入到照片中，攻擊者可以利用這一點通過對拍攝照片或視頻的EXIF數(shù)據(jù)稍加解析，便可以獲取用戶的定位。”

　　Checkmarx于2019年7月4日向谷歌指出了該漏洞，7月23日，谷歌將此漏洞提升為“高危漏洞”級別。8月1日，谷歌證實了Checkmarx研究人員懷疑的漏洞的確存在，谷歌相機確實會影響其它搭載安卓系統(tǒng)的移動設(shè)備，該漏洞被命名為CVE-2019-2234。

　　8月下旬，谷歌確認三星設(shè)備的相機受到了影響，兩家公司都批準了公開此漏洞的存在。谷歌公司稱，相機應(yīng)用程序中的漏洞已經(jīng)在2019年7月修復(fù)并通過Google Play商店更新，同時也為其它供應(yīng)商提供了補丁。

　　該漏洞十分危險，因為它可以允許沒有應(yīng)用權(quán)限的App執(zhí)行以下操作：

　　在手機鎖定或屏幕關(guān)閉的情況下拍攝照片并錄制視頻。

　　通過存儲的照片提取GPS位置數(shù)據(jù)。

　　即使在拍照和錄制視頻時，也能收聽到雙向?qū)υ挕１焕账鞯臐撛诳赡芴罅耍?/p>

　　將相機快門靜音，讓受害者在拍照時聽不到聲音。傳輸存儲在SD卡中的歷史視頻和照片。