|
|
一鍵注冊���,加入手機圈
您需要 登錄 才可以下載或查看��,沒有帳號���?立即注冊  
x
【新智元導(dǎo)讀】可怕�!谷歌和三星手機的相機應(yīng)用近日被曝存在嚴(yán)重安全漏洞���,可能被黑客用來監(jiān)視數(shù)億用戶。通過漏洞��,黑客可以利用受害者的手機拍照��、錄制視頻���、錄制通話語音��,甚至跟蹤用戶位置�。手機還安全嗎��?來 新智元AI朋友圈 和AI大咖們一起討論吧��。
你可能一直在被觀看�����,卻不知道是誰在觀看。
Android被曝嚴(yán)重相機漏洞����,鎖屏也能偷拍偷錄�,影響數(shù)億用戶-1.jpg (16.5 KB, 下載次數(shù): 15)
下載附件
2022-10-3 22:36 上傳
攝像頭,已經(jīng)從手機的附帶功能�����,升級為記錄生活的一種方式�。面對金黃的銀杏林、枝頭的初雪���、和朋友相聚的火鍋����,我們都會拿出手機,打開攝像頭拍照或者錄制vlog�����,這已經(jīng)是我們觀看����、記錄和表達世界的渠道。
但是��,如果說在你毫無察覺的時候���,手機攝像頭就被開啟用來監(jiān)視你的生活,這可能就是現(xiàn)代的《楚門的世界》����。
Android被曝嚴(yán)重相機漏洞��,鎖屏也能偷拍偷錄�����,影響數(shù)億用戶-2.jpg (48.43 KB, 下載次數(shù): 16)
下載附件
2022-10-3 22:36 上傳
現(xiàn)在�����,這種如果����,出現(xiàn)了一點成為現(xiàn)實的可能。
據(jù)外媒報道��,Checkmarx的安全研究團隊發(fā)現(xiàn)了安卓手機的漏洞���,攻擊者通過訪問手機存儲空間就可以繞過Android權(quán)限���,在不需要獲取用戶同意的情況下,就可以遠(yuǎn)程控制手機進行遠(yuǎn)程拍照����、錄制視頻、監(jiān)視對話�。
Checkmarx尖端軟件漏洞研究團隊新成果���,Google和三星手機漏洞可通過相機監(jiān)視用戶
研究團隊說有漏洞就真的有漏洞嗎?是不是危言聳聽���?首先�����,我們來看看Checkmarx的安全研究團隊是什么來頭����。
Checkmarx是以色列的一家高科技軟件公司���,也是世界上最著名的源代碼安全掃描軟件Checkmarx CxSuite的生產(chǎn)商。Checkmarx被提名為2019年Gartner應(yīng)用安全測試魔力象限的領(lǐng)導(dǎo)者����,在應(yīng)用安全領(lǐng)域市場領(lǐng)導(dǎo)者類別獲《網(wǎng)絡(luò)防御》雜志2019年Infosec獎,曾贏得年度應(yīng)用安全解決方案獎�����。
其安全研究團隊對Amazon的Alexa�����,Tinder,LeapFrog LeapPad等產(chǎn)品的尖端軟件漏洞研究����,《早安美國》新聞,《消費者報告》和《財富》在內(nèi)的知名媒體皆發(fā)文報道��,引發(fā)行業(yè)關(guān)注�。
這次,Checkmarx的安全研究團隊在研究Google Pixel 2XL和 Pixel 3 手機上的谷歌相機app(Google Camera)時�����,發(fā)現(xiàn)了幾個漏洞��,這些漏洞都是因為允許攻擊者繞過用戶權(quán)限的問題引起的��。另外����,三星相機也存在這一漏洞。
Android被曝嚴(yán)重相機漏洞��,鎖屏也能偷拍偷錄���,影響數(shù)億用戶-3.jpg (48.33 KB, 下載次數(shù): 15)
下載附件
2022-10-3 22:36 上傳
而此前,研究團隊還披露亞馬遜的Alexa和Tinder存在這個問題�����。
僅僅考慮到Google和三星手機的覆蓋范圍�,這些漏洞可能會對數(shù)億用戶產(chǎn)生影響,甚至是威脅�。
不寒而栗:惡意應(yīng)用悄無聲息地拍照、錄像�、偷聽……
這個漏洞被命名為CVE-2019-2234�����,它本身允許一個惡意應(yīng)用程序遠(yuǎn)程從攝像頭��、麥克風(fēng)和GPS位置數(shù)據(jù)獲取輸入。能夠做到這一點的影響非常嚴(yán)重��,以至于Android開源項目(AOSP)專門擁有一組權(quán)限����,任何應(yīng)用程序都必須向用戶請求這些權(quán)限并獲得許可,然后才能啟用這類操作��。
Checkmarx的研究人員所做的就是創(chuàng)建一個攻擊場景����,該攻擊場景濫用了谷歌相機應(yīng)用本身來繞過這些權(quán)限。為此��,他們創(chuàng)建了一個惡意應(yīng)用程序�����,利用了最常請求的權(quán)限之一:存儲訪問���。
Android被曝嚴(yán)重相機漏洞,鎖屏也能偷拍偷錄��,影響數(shù)億用戶-4.jpg (14.98 KB, 下載次數(shù): 15)
下載附件
2022-10-3 22:36 上傳
惡意應(yīng)用請求的權(quán)限僅是“存儲訪問”
“這個運行在Android智能手機上的惡意應(yīng)用程序可以讀取SD卡��,”Yalon說����,“它不僅可以訪問過去的照片和視頻,而且利用這種新的攻擊方法���,可以隨意拍攝新的照片和視頻��?����!?br />
Android被曝嚴(yán)重相機漏洞,鎖屏也能偷拍偷錄�,影響數(shù)億用戶-5.jpg (20.13 KB, 下載次數(shù): 15)
下載附件
2022-10-3 22:36 上傳
惡意應(yīng)用悄無聲息地啟動了手機的視頻錄制
Android被曝嚴(yán)重相機漏洞���,鎖屏也能偷拍偷錄�����,影響數(shù)億用戶-6.jpg (52.24 KB, 下載次數(shù): 14)
下載附件
2022-10-3 22:36 上傳
惡意應(yīng)用遠(yuǎn)程錄制通話
攻擊者如何利用Google Camera應(yīng)用程序的漏洞���?
Checkmarx通過開發(fā)一個惡意應(yīng)用程序創(chuàng)建了一個概念驗證(PoC)漏洞���。這是一個天氣APP,在谷歌應(yīng)用商店中一直很流行���。除了基本的存儲訪問權(quán)限外����,這個應(yīng)用程序不需要任何特殊的權(quán)限���。該應(yīng)用程序不太可能引起用戶的警覺��,因為只需請求這樣一個簡單�����、普通的許可���。畢竟,人們習(xí)慣質(zhì)疑不必要的���、廣泛的許可請求�����,不會去質(zhì)疑一個單一����、常見的許可請求��。
然而�,這個應(yīng)用程序遠(yuǎn)非無害。它分為兩部分���,一部分是運行在智能手機上的客戶端應(yīng)用程序��,另一部分是與之連接的命令和控制服務(wù)器�����,以執(zhí)行攻擊者的命令����。
Android被曝嚴(yán)重相機漏洞����,鎖屏也能偷拍偷錄,影響數(shù)億用戶-7.jpg (51.61 KB, 下載次數(shù): 14)
下載附件
2022-10-3 22:36 上傳
安裝并啟動應(yīng)用程序后�����,它將創(chuàng)建與該命令和控制服務(wù)器的持久連接����,然后等待指令。關(guān)閉應(yīng)用程序并不會關(guān)閉服務(wù)器連接���。
攻擊者可以發(fā)送什么指令����,導(dǎo)致什么操作呢�����?這份長長的清單可能會讓你不寒而栗:
- 使用智能手機攝像頭拍照并上傳至命令服務(wù)器��。
- 使用智能手機攝像頭錄制視頻并上傳至命令服務(wù)器。
- 通過監(jiān)控智能手機的近距離傳感器來確定手機何時靠近耳朵����,等待語音通話開始,并錄制通話雙方的音頻��。
- 在被監(jiān)控的通話過程中���,攻擊者還可以在錄制音頻的同時錄制用戶的視頻。
- 從所有拍攝的照片中獲取GPS標(biāo)簽����,并使用這些標(biāo)簽在全球地圖上定位手機主人。
- 訪問并復(fù)制存儲的照片和視頻信息���,以及在攻擊過程中捕獲的圖像�。
- 通過在拍照和錄制視頻時使智能手機靜音來隱秘地進行操作�����,這樣就不會發(fā)出相機快門的聲音而令用戶警覺�。
- 無論智能手機是否解鎖,都可以啟動拍照和錄像活動。
Android被曝嚴(yán)重相機漏洞,鎖屏也能偷拍偷錄����,影響數(shù)億用戶-8.jpg (11 KB, 下載次數(shù): 14)
下載附件
2022-10-3 22:36 上傳
谷歌相機應(yīng)用存在漏洞
https://www.zhihu.com/video/1181257403621900288
Google Camera應(yīng)用程序漏洞披露時間表
近日谷歌和三星聯(lián)合發(fā)布了這一信息,以確保兩家公司都已發(fā)布漏洞補丁����。然而,漏洞信息是從7月4日開始披露的�,Checkmarx向谷歌的Android安全團隊提交了一份漏洞報告,這才開始了幕后的揭露��。
7月13日�,谷歌最初將漏洞的嚴(yán)重程度設(shè)置為中等,但在Checkmarx進一步反饋之后,嚴(yán)重程度在7月23日被調(diào)為“高”���。
8月1日���,谷歌證實了這些漏洞影響了更廣泛的Android生態(tài)系統(tǒng),其他智能手機廠商也受到了影響��,并發(fā)布了CVE-2019-2234�����。
8月18日���,谷歌聯(lián)系了多家供應(yīng)商;8月29日���,三星證實該漏洞影響了他們的設(shè)備�。
谷歌回應(yīng)已提供補丁�,安全專家:“簡直令人瞠目結(jié)舌”
谷歌回應(yīng):已向所有合作伙伴提供補丁
在媒體聯(lián)系谷歌后,一位發(fā)言人表示:“我們很感謝Checkmarx提醒我們注意到這一漏洞����,并與谷歌和Android的合作伙伴合作,協(xié)調(diào)信息披露�。通過2019年7月Google Play商店發(fā)布的Google Camera 應(yīng)用程序的更新�����,受影響的谷歌手機已經(jīng)解決了該問題���。我們也已經(jīng)向所有合作伙伴提供了該補丁?!?br />
然而,該漏洞的披露被推遲到谷歌和三星都發(fā)布了補丁之后���,所以�����,如果你的相機應(yīng)用程序有最新版本��,一定要更新到最新版本以免受攻擊的威脅�。
此外�,更新到最新版本的Android操作系統(tǒng),確保你的手機已經(jīng)應(yīng)用了最新可用的安全補丁����,并建議為設(shè)備使用最新版本的相機應(yīng)用程序,以降低風(fēng)險。
安全專家意見:“簡直令人瞠目結(jié)舌”
我們詢問了安全專家Ian Thornton-Trump����,他對這一漏洞的嚴(yán)重性有何看法,以及該漏洞將如何影響到更廣泛的智能手機安全��。
Thornton-Trump說:“當(dāng)我讀到這份關(guān)于相機應(yīng)用程序有多么脆弱的報告時�����,我簡直驚掉下巴����。這聽起來不像是一個漏洞,而更像是一個具有全功能間諜軟件的高級持續(xù)威脅(APT)���。”
實際上,Thornton-Trump注意到�����,如果安全研究人員是黑帽�,他們可以很容易地將這項研究變現(xiàn),獲得數(shù)十萬美元��。他說:“多虧Checkmarx研究人員的出色工作和正直人格,現(xiàn)在所有安卓用戶都更安全了���?!?br />
Thornton-Trump對谷歌很快發(fā)布了補丁感到高興�,但他表示,由于漏洞的嚴(yán)重性和全面性�����,“谷歌也是時候讓 ‘Project Zero’的一些能力深入到Android操作系統(tǒng)本身了�����?��!?br />
“毫無疑問����,大量被披露的Android漏洞正在損害Android的品牌�。最近的‘白屏死機’問題也不利于公司的聲譽。谷歌需要做更多的工作來保證用戶信任Android設(shè)備的安全性和保密性��。與此同時�,任何需要保護的人都應(yīng)該馬上更新系統(tǒng)���,”他說:“如果你因設(shè)備老化或缺乏制造商支持而無法更新設(shè)備,那么就該換臺新設(shè)備了�。”
----------------------------- |
|
發(fā)表于 2022-10-1 13:25:34
收藏
頂
靠
提升卡
置頂卡
禁言卡
解禁卡
變色卡
置頂卡
照妖鏡
