安卓系统暴露出严重的漏洞。Android的照相机应用程序中出现了至少数百万个Android设备受到影响的新漏洞,这一漏洞使其他应用程序无需获得必要的权限即可在视频、和存储库中G数据。传说来了Android的a通常会开放许多功能(如),以便在同一设备的其他a中使用,但要使用这些功能,必须事先将相应的权限授予其他a。针对谷歌和三星,checkMarx的研究人员今天公开了一个新的漏洞,即使其他应用程序没有Google应用程序的权限,也能拍照、录制视频或获得设备位置据悉这个漏洞被命名为。
如果到才能解决这个问题,将影响谷歌相机和三星相机的正常使用。绕过和录像权申请Googleixel的照相机应用程序分析结果显示,checkMarx研究人员发现,多种权限结合在一起,可以操纵设备上的照相机、拍照或录制视频。Android暴露严重漏洞通常,用录制视频、拍照或获取设备位置的应用程序需要Android相机权限、Android视频录制权限、正确的位置权限和大致的位置访问权限。checkmarx的研究人员发现,具有保存权限的a可以访问设备上D卡的所有内容。
而且此a无需获得上述权限即可使用摄像头a的所有开放功能。在Android智能手机上恶意运行的应用程序不仅可以访问已经存在的和视频,还可以使用这种新的攻击方法读取能够向相机拍照或录制的D卡。此外,G的元数据通常内置在中,攻击者可以利用它对或视频的EXIF数据进行一些分析,以确定用户的位置。他说赛车游戏、流服务,甚至天气预报等多种应用程序定期申请存储权限,因此这显然是一个严重的问题。一些a可能还对访问和视频不感兴趣,但不可否认,相当多的a在合法范围内申请存储权限是当前最常用的报销权限之一。Android严重的漏洞暴露使研究人员创造了一个伪装成气象应用程序的概念应用程序。
使研究人员能够无声地将、视频和电话录音发送回受研究人员控制的服务器。此漏洞非常危险,因为它允许没有应用权限的a执行以下操作:在手机锁定或屏幕关闭的情况下和录制视频。通过保存的提取G位置数据。在拍照和录制视频时,您还可以进行双向对话。被抢劫的可能性可能太大了!使相机快门静音,使受害者拍照时不听到声音。传输存储在D卡上的录制视频和。谷歌相机已2019年7月修理完毕在Google上指出了这一漏洞。
Google将这一漏洞提升到了高风险漏洞级别。谷歌1日证实,checkMarx研究人员怀疑的漏洞确实存在,谷歌相机实际上影响了其他基名为的Android的移动设备。安卓系统暴露出严重漏洞的8月末,谷歌确认三星设备的相机受到了影响,两家公司都批准了公开这一漏洞的存在。谷歌表示,照相机应用程序中的漏洞已2019年7月修复,通过Googlelay商店,其他供应商也将获得补丁。我非常感谢checkmarx引起了我们对这个问题的兴趣。
我们与Google和Android的供应商协商,公开了这个问题。这个问题在7月得到解决,我们在Googlelay商店了Google相机,所有合作伙伴都可以使用此修补程序。我们强烈建议所有用户将Android系统升级到最新版本,以确保您的设备使用的是最新的照相机应用程序。