快捷搜索:

安卓被曝严重漏洞是怎么回事?数百万安卓设备

安卓系统的相机App中呈现了一个新的破绽,至少稀有百万台安卓设备受到影响,这个破绽导致其它App在没有得到需要权限的环境下可以拍摄视频、照片并从储存器中提取GPS数据。

安卓的App平日会开放拍照等多项功能以供同一设备上的其它App应用,然则为了应用这些功能,其它App必须预先得到响应的权限。

针对谷歌和三星,Checkmarx的钻研职员在本日表露了一个新的破绽,纵然其它App没有得到谷歌App的权限,它们也一样可以摄影、录制视频或者获取设备位置。

这一破绽被命名为CVE-2019-2234,据称,假如该问题在2019年7月之前未被办理,将会影响到谷歌相机和三星相机的正常应用。

绕过摄影和录制视频的权限申请

颠末对谷歌Pixel的相机App的阐发,Checkmarx钻研职员发明许多权限结合在一路便可以操纵设备的相机,进而拍摄照片或录制视频。

一样平常而言,一款利用想要录制视频、拍摄照片或者获取设备位置,必须得到以下权限:安卓相机应用权限、安卓视录制权限、获取正确位置权限以及获取粗略位置权限。

Checkmarx的钻研职员发明具有“存储”权限的App竟然可以造访设备上SD卡的整个内容,同时该APP无需得到以上权限就可以应用相机App的所有开放功能。

“安卓智妙手机上恶意运行的App可以读取SD卡,该App不仅可以造访已有的照片和视频,而且可以使用这种新的进击措施定向启动相机,从而拍摄照片或录制视频。不仅如斯,GPS的元数据平日会嵌入到照片中,进击者可以使用这一点经由过程对拍摄照片或视频的EXIF数据稍加解析,便可以获取用户的定位。”

这显然是一个严重的问题,由于赛车游戏、流媒体办事以致是气象预告等多种App会按期申请存储权限。

您可能还会对下面的文章感兴趣: