阿里云最新优惠活动

Google 修复 Android 相机 App 严重安全漏洞,用户应尽速更新

阿里云服务器优惠

数百万 Android 装置的「相机」应用程式具有漏洞,可能会导致允许其他应用程式在没有权限的状况下拍摄照片、影片及读取所在位置。

一般状况下应用程式需要得到用户授予权限才能使用手机上的各种功能,或读取特定资料,但这个漏洞让应用程式可以突破限制。资讯安全软体 Checkmarx 与 Google 和三星(Samsung)合作中揭露了这个漏洞,这个名为 CVE-2019-2234 的安全漏洞会让应用程式在没有用户许可下拍摄照片、影片和读取装置位置。漏洞目前已确认会影响 Google「相机」App 和三星「相机」App,不过已经在 2019 年 7 月更新中修复,但未更新的装置漏洞还是会存在。

Checkmarx 研究人员分析了 Google Pixel 的「相机」App 之后,发现 App 会让其他具有储存权限的 App 不需要取得相机的权限就能使用拍照镜头。如果智慧型手机上有恶意程式获得储存权限,不只能取得过去拍摄的照片和影片,也能自动拍摄新的照片和影片。由于照片通常也附带有 GPS 数据,因此恶意程式能透过自动拍照来取得当下装置所在的位置。

这是一个严重的漏洞,因为有许多 App 都会取得储存权限,包括游戏、串流服务甚至连天气预报都会请求储存权限。Checkmarx 的报告指出,就他们的观察中储存权限是应用程式最常请求的权限。一旦骇客运用这个漏洞,即使手机在上锁状态照样能偷拍照和录影,甚至主动将相机快门静音,让受害用户不会发现手机正在自动拍照。

Checkmarx 在 7 月 4 日向 Google 告知这个漏洞,8 月 1 日 Google 也证实了研究人员的疑虑,8 月下旬确定三星的「相机」App 也受到了影响,两家厂商都批准公开这个漏洞。根据 Google 的说法,「相机」App 的漏洞已经在 2019 年 7 月利用 Google Play 应用程式商店的更新修补,也向其他 Android 系统的手机品牌提供了修补的更新程式。

如果还没更新到最新版本的 Android 装置用户建议尽速更新,确保不会遭到骇客恶意使用漏洞攻击。

  • Android Camera App Bug Lets Apps Record Video Without Permission
  • Google & Samsung fix Android spying flaw. Other makers may still be vulnerable
赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

买云服务器上,云就上阿里云!

平板电脑什么牌子好买书去哪个网站比较好