最前線 | 谷歌Android系統再曝漏洞，惡意應用可以秘密錄制視頻

Android系統被曝出一個嚴重的安全漏洞，可以讓應用繞過用戶許可秘密錄制視頻。

以色列安全公司Checkmarx，在研究谷歌智能手機Pixel 2XL和Pixel 3的谷歌相機應用時，發現了這個漏洞，代號為CVE-2019-2234。除了谷歌手機之外，三星手機上也發現這樣的漏洞。三星是目前全球用戶數最多的安卓機廠商，系統底層的漏洞可能會影響數億人的信息安全。

這個漏洞使得惡意應用無需用戶許可就能錄視頻、拍照片，在你打電話時還會錄制音頻，并將這些信息上傳至服務器。拍照或錄視頻時，還會關閉智能手機的聲音，這樣就不會有相機快門的聲音提醒用戶。此外，它還可以確定你的位置信息：從拍攝的照片中捕捉GPS標簽，并使用這些標簽在全球地圖上定位用戶的位置。更要命的是，無論智能手機是否解鎖，都可以進行拍照和錄像。

所有這些都是在后臺悄無聲息地進行的，用戶并不知情。

通常來說，Android會阻止應用在未經用戶許可的情況下訪問智能手機攝像頭和麥克風，但這個漏洞的存在，使得應用可以輕松繞過用戶的許可。為了驗證這個漏洞，Checkmarx開發了一個天氣應用，這類應用在谷歌Play Store中一直很流行。這個應用不需要任何特殊的權限，只需獲得基本的存儲訪問，即可調用攝像頭和麥克風，從而進行上述那些有安全危險的操作。

這個應用程序與控制服務器相連，用戶安裝并啟動應用程序后，它將創建與控制服務器的持久連接，然后等待攻擊者的指令。

今年7月4日，Checkmarx向谷歌的Android安全團隊提交了關于這個漏洞的報告，谷歌最初將其的嚴重程度設置為中等，隨后調為高級。8月1日，谷歌證實了這些漏洞影響了更廣泛的Android生態系統，波及多家設備廠商，8月29日，三星證實該漏洞影響了他們的設備。

好在目前谷歌和三星都已修補了這一漏洞，在漏洞修復后，谷歌和三星向外界公布了這一漏洞的消息。為了保證信息安全，用戶可以更新到最新版本的Android操作系統。

據福布斯報道，網絡威脅情報專家Ian Thornton-Trump對此表示，如果黑帽子發現了這個漏洞，他們可以很容易地將這項研究變現，獲得數十萬美元。他認為，雖然谷歌修復漏洞的速度很快，但鑒于漏洞的嚴重程度，谷歌是時候動用一些Project Zero（谷歌2014年宣布的互聯網安全項目，團隊成員主要是谷歌內部頂尖安全工程師）的能力，來深入挖掘Android操作系統，提升安卓設備的安全性。

相關推薦

最前線 | 谷歌Android系統再曝漏洞，惡意應用可以秘密錄制視頻
Android被曝嚴重相機漏洞！鎖屏也能偷拍偷錄
科技神回復丨庫克：美國要求解鎖iPhone，我們一般在華強北就搞定了
最前線 | 蘋果Safari瀏覽器被曝安全漏洞，舉報方是谷歌
最前線 | 華為邀請全球黑客為鴻蒙找漏洞，或為鴻蒙手機鋪路
最前線 | iPhone被曝用戶位置漏洞，蘋果回應將提供開關功能
英特爾再爆重大芯片漏洞，蘋果谷歌微軟相繼中招
最前線 | 谷歌被曝收集百萬人健康信息 隱私專家：這似乎被法律允許
Android 11 強制用戶使用內置相機應用，谷歌讓安卓更封閉了嗎？
17款iPhone惡意軟件從蘋果App Store被移除

網址: 最前線 | 谷歌Android系統再曝漏洞，惡意應用可以秘密錄制視頻 http://www.bimbinganhajiumroh.com/newsview13219.html