原标题:安卓爆漏洞,你的手机摄像头会被黑客盯上?最新系统版本或可避免
近日,以色列安全公司Checkmarx曝光其此前发现的安卓系统漏洞:部分应用程序可绕过用户的许可调用摄像头和麦克风,并能够录音、拍照甚至录像。该公司称,今年7月,谷歌与三星公司都证实了该漏洞的影响,并对其进行修复。南都记者注意到,谷歌于今年9月3日发布的安卓最新版本Android 10确实对摄像头访问权限实施了限制。
安卓系统手机摄像头可被应用程序擅自调用的现象在此前就已经引发热议。去年,升降式摄像头手机大火时,许多安卓系统手机都被指出在打开某些应用时,手机摄像头在用户未使用相机功能时自动弹出的现象。
2018年,南都曾经报道;当允许QQ浏览器获取相机权限后,打开旅游网站点击“周边游”链接,vivo NEX的前置摄像头突然自动升降。随后, QQ浏览器紧急回应,经过测试发现确认存在调起摄像头动作,但这一动作并不会开启摄像头拍摄或记录,也不会采集用户的任何隐私,并表示对这一使用体验进行优化。
而另一个采取升降式摄像头设计手机也被曝出存在同样问题。当时南都记者在测评时,使用OPPO Find X手机打开另一款腾讯旗下产品QQ空间也出现上述现象。
Checkmarx在其博客帖子中提到,通过安卓系统相机拍摄的照片和视频会被存储在SD卡中,且属于“敏感数据”类别,而应用访问照片和视频则需要具有特殊权限(存储权限)。为此,AOSP(Android 开放源代码项目)创建了应用必须向用户请求的一组特定权限。基本上,具有存储权限的应用可以广泛应用整个SD卡,出于合法目的,许多应用经常请求该权限。
该公司称,在研究该漏洞时,Checkmarx研究人员模拟黑客试图访问目前被广泛应用于安卓系统相机应用的权限策略,发现此类存储访问范围允许恶意应用程序在没有特定相机权限的情况下拍摄照片和视频,并且仅需要存储权限即可进一步操作获得所拍摄的照片和视频。
此外,在另一种情形下,黑客可以绕过各种存储权限策略,并通过拍摄的照片和视频解析EXIF数据(“可交换图像文件格式”:可以记录数码照片的属性信息和拍摄数据),从而通过GPS元数据找到用户当前的GPS位置。
值得注意的是,Checkmarx研究人员还找到一种方法,即使手机被锁定或屏幕被关闭,流氓应用也可以强制相机应用程序拍照和录制视频。“即使用户处于语音通话中,我们的研究人员也可以这样做。”该公司称。
而最初该系统漏洞仅在Google Pixel 2 XL和Pixel 3内置相机应用中发现,当该公司深入研究时发现这些漏洞也影响了部分主要的智能手机供应商,例如三星。
在今年7月,Checkmarx向谷歌提交了漏洞报告,随后谷歌与三星公司都证实了该漏洞的影响,并表示已经修复了漏洞。漏洞修复后,Checkmarx称谷歌与三星都表示,为了安全起见,用户可以更新到最新版本的安卓操作系统。
南都记者了解到,如果根据9月初发布的安卓系统最新版本Android 10变更信息,或在一定程度上印证了上述漏洞消息。
Android 10变更信息显示:在隐私权方面对访问摄像头详情和元数据的权限实施了限制,应用必须具有相机权限才能访问此方法的返回值中可能包含的设备特定元数据。同时,对于Android 10 及更高版本为平台的应用,其访问权限范围限定为外部存储,且仅包括应用文件和应用创建的照片、视频和音频片段。此外,应用在后台运行时访问设备位置信息需要权限,若应用不符合以下条件之一则会被视为在后台访问位置信息:属于该应用的 Activity 可见;该应用运行的某个前台设备已声明前台服务类型为 location。
采写:南都记者 孔学劭 实习生 廖静娜
编辑:甄芹游戏网
| 相关下载 |
原标题:被曝11个漏洞的5G究竟发生了啥? 5G最近大出风头,频频成为热门讨论话题。如,5G套餐出炉让人们直呼“用不起”。运营商忙着召开各种名目的5G合详情>>
原标题:华为正式推出手机漏洞悬赏计划 找出漏洞重金奖励 据Twitter知名博主Azeria消息,华为今日凌晨在慕尼黑举行了“秘密会议”,本次大会邀请了业详情>>
原标题:明星P图上瘾漏洞百出,跪服关晓彤的修图师 何洁参加某晚会的照片被曝光之后,起初其正常的体型原本并没有产生热议,直到生图被曝光之后,显然与P详情>>
原标题:CNVD发布新一期漏洞报送情况 补天平台贡献漏洞数占67% 近日,国家信息安全漏洞共享平台(以下简称CNVD)发布了“2019年CNVD漏洞周报第43期”。周详情>>
pokerstars的操控系统非常便捷且人性化。沿袭PC版,Android版同样具备了聊天、托管、提示等选项,无论是与牌友交流,还是临时有事需暂离牌桌,或是一时间不知道如何出牌,都可以利详情>>
原标题:国内首家开源漏洞平台360BugCloud,上线首周收录漏洞超300个 全球几十亿的设备都基于某种开源软件而开发,一旦某个通用型开源漏洞被利用来攻破详情>>
原标题:阴阳师:依靠漏洞周入千万,官方终于出手,众多顶级号恐被封 阴阳师的斗技玩法一直是游戏的特色之一,回合制游戏的PK就像是下棋一样,双方每一步的博详情>>
中国青年报10月23日消息,微商朋友圈里“让人一天瘦一斤”的古方减肥药“燃脂减肥胶囊”,被警方认定是无国药准字号、无药监局批文的假药。经权威部门检测,其中竟还含有对人体有详情>>
原标题:网红减肥药含违禁成分 微商卖假药凸显市场监管漏洞 微商卖假药凸显市场监管漏洞 微商朋友圈里“让人一天瘦一斤”的古方减肥药“燃脂减肥胶详情>>
原标题:CVE-2017-11826:Office Open XML wwlib模块解析混淆漏洞分析 *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非详情>>
根据ZDNet报道,Google旗下安全团队Project Zero的两名成员日前公布了影响iOS系统的6个“无交互”安全漏洞中其中5个的详细信息和演示用攻击代码,这些漏洞可通过详情>>
今日,谷歌旗下安全团队Project Zero的两名成员日前公布了影响iOS系统的6个安全漏洞中其中5个的详细信息和演示用攻击代码。不过近日更新的 iOS 12.4 版本已经修复了这些漏详情>>
原标题:网络安全公司:EA Origion平台存在一系列重大漏洞 Check Point Software Technologies的威胁情报部门Check Point Research,今(7/1)日称在EA旗下的游戏平台详情>>
网易新游《隐世录》自从首测以来,东方唯美幻想与代码电子乱流风格并存的场景特点、围绕“BUG”展开的独特世界观等,始终是玩家关注的焦点。 《隐世录》手游中,隐世究竟隐详情>>
![[视频]EA宣布已修复影响3亿玩家的Origin游戏服务漏洞_Check](https://img.61sou.com/zz/2019/06/30/186a3cde753d00b01b813466abc7595a_5d134f6e2e170a11e8065ee9.jpeg)
原标题:[视频]EA宣布已修复影响3亿玩家的Origin游戏服务漏洞 EA已经修复了此前Origin游戏服务上曝光的一系列安全问题,攻击者可以利用这些漏洞控制用户账户并获取详情>>
原标题:周琦团队发声明却被网友批漏洞百出,到底他和王仕鹏谁在撒谎? 周琦遭到王仕鹏炮轰 周琦和王仕鹏也是在昨天可以说是不断发酵,王仕鹏在微博上炮轰周琦,发详情>>
![微信海盗来了能量漏洞BUG详解 能量漏洞BUG是什么?[多图]](https://img.61sou.com/zz/2019/06/26/12a7a82b19e1e04ebf4b96fa4f79006a_5d1350c12e170a11e8065f2f.jpg)
微信海盗来了能量漏洞BUG于最近被玩家们所发现,一些小伙伴对能量漏洞这个小BUG还不是很了解!下面是游戏鸟小编为大家带来的能量漏洞BUG详细解析! 能量漏洞BUG详解: 1、详情>>
office办公软件相信,无论你是上班族还是学生学习,都会或多或少的使用到该软件,是软件就会有漏洞,这里小生说一下远程代码执行漏洞补丁如何下载?攻略对象互联网步骤分解1百度搜索:详情>>
北京时间4月17日上午消息,据美国科技媒体TechCrunch报道,EA已经修复了在线游戏平台Origin上的一个漏洞。在此之前,研究人员发现该漏洞可能导致玩家在电脑上远程运行恶详情>>
Game234问答中心有网友提出了一个比较有代表性的问题【补天漏洞平台跟360是什么关系】,小编觉得可能对其他网友也有帮助,所以将此问答整理出来了,希望对您有帮助。小编为您搜罗的答案1腾讯电脑管家主要详情>>
然后找到会员使用权限开通状态这栏,DEDE默认选择是0也就是注册会员就能发布文章。...功能简单,正因如此,很多需要专业企业官网的用户使用一段时间后就不得不选择更为... 详情>>
谷歌官方近日确认浏览器GoogleChrome的最新更新是用来修补浏览器中的0day漏洞,“0day漏洞”是一种可被用于主详情>>
?据外媒MSPowerUser援引BGR消息报道,谷歌最近披露了Android系统的一项新的漏洞,通过这项漏洞,黑客可以引诱你打开一个特制的.PNG格式的图片文件,然后借助此侵入你的设备,运行Andr详情>>
