安卓被曝嚴重漏洞:不經過你同意APP能隨意訪問相冊
安卓操作系統目前是世界最主流的手機操作系統之一,可以説基本上至少有一半的手機都是安卓系統,可是,就是這樣一個使用人數眾多的系統,安卓系統被曝嚴重漏洞,該漏洞顯示,可以不經過你同意,APP就能隨意訪問你手機裏的相冊。
安卓手機
安卓被曝嚴重漏洞
安卓系統的相機App中出現了一個新的漏洞,至少有數百萬枱安卓設備受到影響,這個漏洞導致其它App在沒有獲得必要權限的情況下可以拍攝視頻、照片並從儲存器中提取GPS數據。
安卓的App通常會開放照相等多項功能以供同一設備上的其它App使用,但是為了使用這些功能,其它App必須預先獲得相應的權限。
針對谷歌和三星,Checkmarx的研究人員在今天披露了一個新的漏洞,即使其它App沒有獲得谷歌App的權限,它們也一樣可以拍照、錄製視頻或者獲取設備位置。
這一漏洞被命名為CVE-2019-2234,據稱,如果該問題在2019年7月之前未被解決,將會影響到谷歌相機和三星相機的正常使用。
“監控”
繞過拍照和錄製視頻的權限申請
經過對谷歌Pixel的相機App的分析,Checkmarx研究人員發現許多權限結合在一起便可以操縱設備的相機,進而拍攝照片或錄製視頻。
一般而言,一款應用想要錄製視頻、拍攝照片或者獲取設備位置,必須獲得以下權限:安卓相機使用權限、安卓視錄製權限、獲取精確位置權限以及獲取粗略位置權限。
Checkmarx的研究人員發現具有“存儲”權限的App竟然可以訪問設備上SD卡的全部內容,同時該APP無需獲得以上權限就可以使用相機App的所有開放功能。
“安卓智能手機上惡意運行的App可以讀取SD卡,該App不僅可以訪問已有的照片和視頻,而且可以利用這種新的攻擊方法定向啟動相機,從而拍攝照片或錄製視頻。
不僅如此,GPS的元數據通常會嵌入到照片中,攻擊者可以利用這一點通過對拍攝照片或視頻的EXIF數據稍加解析,便可以獲取用户的定位。”
這顯然是一個嚴重的問題,因為賽車遊戲、流媒體服務甚至是天氣預報等多種App會定期申請存儲權限。
“也許一些App還沒有對照片或視頻訪問產生興趣,但不可否認的是,大量的App都合理合法的範圍內申請存儲權限,而這是目前最普遍的被申請權限之一。”
