Android系统被曝出一个严重的安全漏洞,可以让应用绕过用户许可秘密录制视频。
以色列安全公司Checkmarx,在研究谷歌智能手机Pixel 2XL和Pixel 3的谷歌相机应用时,发现了这个漏洞,代号为CVE-2019-2234。除了谷歌手机之外,三星手机上也发现这样的漏洞。三星是目前全球用户数最多的安卓机厂商,系统底层的漏洞可能会影响数亿人的信息安全。
这个漏洞使得恶意应用无需用户许可就能录视频、拍照片,在你打电话时还会录制音频,并将这些信息上传至服务器。拍照或录视频时,还会关闭智能手机的声音,这样就不会有相机快门的声音提醒用户。此外,它还可以确定你的位置信息:从拍摄的照片中捕捉GPS标签,并使用这些标签在全球地图上定位用户的位置。更要命的是,无论智能手机是否解锁,都可以进行拍照和录像。
所有这些都是在后台悄无声息地进行的,用户并不知情。
通常来说,Android会阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风,但这个漏洞的存在,使得应用可以轻松绕过用户的许可。为了验证这个漏洞,Checkmarx开发了一个天气应用,这类应用在谷歌Play Store中一直很流行。这个应用不需要任何特殊的权限,只需获得基本的存储访问,即可调用摄像头和麦克风,从而进行上述那些有安全危险的操作。
这个应用程序与控制服务器相连,用户安装并启动应用程序后,它将创建与控制服务器的持久连接,然后等待攻击者的指令。
今年7月4日,Checkmarx向谷歌的Android安全团队提交了关于这个漏洞的报告,谷歌最初将其的严重程度设置为中等,随后调为高级。8月1日,谷歌证实了这些漏洞影响了更广泛的Android生态系统,波及多家设备厂商,8月29日,三星证实该漏洞影响了他们的设备。
好在目前谷歌和三星都已修补了这一漏洞,在漏洞修复后,谷歌和三星向外界公布了这一漏洞的消息。为了保证信息安全,用户可以更新到最新版本的Android操作系统。
据福布斯报道,网络威胁情报专家Ian Thornton-Trump对此表示,如果黑帽子发现了这个漏洞,他们可以很容易地将这项研究变现,获得数十万美元。他认为,虽然谷歌修复漏洞的速度很快,但鉴于漏洞的严重程度,谷歌是时候动用一些Project Zero(谷歌2014年宣布的互联网安全项目,团队成员主要是谷歌内部顶尖安全工程师)的能力,来深入挖掘Android操作系统,提升安卓设备的安全性。