安卓系统的开源设计,让其成为了“盛产”漏洞的圣地。
据外媒GSMArena 11 月 20 日 报道,安全研究人员找到了一种通过访问手机存储空间就可以绕过Android权限的方法。
也就是说,通过这个漏洞,攻击者就可以控制用户手机中的应用程序,在不需要获取用户同意的情况下就可以拍摄照片或录制视频。
这样看来,活像身边潜伏了一个内鬼,随时随地把自己主演的不能言说的照片或者学习小视频传回给手机背后的“眼睛”。
也许,有一天不小心逛论坛,发现热点视频主角竟然是自己,或者,突然有一天邮箱收到神秘来客的“要钱通知”,不给钱就把照片或者视频发给所有手机联系人。
想想都“阔怕”。更可怕的是这个漏洞早在今年7月就已经发现了该漏洞,随后谷歌证实了漏洞的存在,并将其命名为CVE-2019-2234。但直至11月,这个漏洞才终于被解决。
那么,这个漏洞是如何黑你的隐私的?
通常,Android相机通常会将照片、视频存放在SD卡上,因为照片和视频涉及到用户隐私,所以一般情况下,访问SD卡需要特殊权限——存储权限,而存储权限非常广泛,很多应用程序都需要使用这个权限,有一些流氓应用程序可以在没有特定相机权限的情况下拍摄照片和视频,甚至可以访问手机用户的GPS位置。
通过这种方式,黑客可以创建一个恶意应用程序获取储访问权限,并从那里获取相机应用程序的权限而无需用户许可。
可怕的是,这种恶意APP不仅可以访问用户过去的照片和视频,还可以随意启动相机拍摄新的照片和视频。此外,由于GPS数据通常都嵌入到照片中中,因此黑客还可以通过拍摄照片或视频解析EXIF数据来获取用户数据。
值得注意的是,Checkmarx研究人员还找到一种方法,即使手机被锁定或屏幕被关闭,流氓应用也可以强制相机应用程序拍照和录制视频。
谷歌在声明中表示“其补丁已提供给所有合作伙伴”,但它没有透露其他制造商的任何安卓设备目前是否仍然会受到影响,也就是Pixel以外的安卓手机。不幸的是,根据Checkmarx的说法,某些设备可能仍然存在问题。
目前该问题仅限于安卓手机,苹果的iOS设备不会受到影响。
如果说在你毫无察觉的时候,手机摄像头就被开启用来监视你的生活,这可能就是现代的《楚门的世界》 了。现在摆在我们面前的只有两条路,一是及时更新系统,二是换个设备。
雷锋网年度评选——寻找19大行业的最佳AI落地实践
创立于2017年的「AI最佳掘金案例年度榜单」,是业内首个人工智能商业案例评选活动。雷锋网从商用维度出发,寻找人工智能在各个行业的最佳落地实践。
第三届评选已正式启动,关注微信公众号“雷锋网”,回复关键词“榜单”参与报名。详情可咨询微信号:xqxq_xq