近日,據安全公司Checkmarx調查發現,谷歌與三星等公司的安卓智慧型手機存在嚴重安全漏洞。具體為惡意應用無需用戶許可即可錄製視頻、拍攝照片、捕獲音頻、獲取GPS數據,另外,最為糟糕的就是這個漏洞還能讓這些內容上傳到遠程伺服器。
該漏洞名稱被命名為CVE-2019-2234。截至目前獲悉,至少要有數百萬台安卓設備受到影響。眾所周知,安卓App必須開放相關權限才能使用,但這個漏洞可以讓App繞過這種操作直接截獲信息。
那麼到底是如何實現繞過權限的?Checkmarx研究人員經過對谷歌Pixel的相機App的分析,發現許多權限結合在一起便可以操縱設備的相機,進而拍攝照片或錄製視頻。
另外,Checkmarx的研究人員還發現具有「存儲」權限的App竟然可以訪問設備上SD卡的全部內容,同時該APP無需獲得以上權限就可以使用相機App的所有開放功能。
不僅如此,GPS的元數據通常會嵌入到照片中,攻擊者可以利用這一點通過對拍攝照片或視頻的EXIF數據稍加解析,便可以獲取用戶的定位。
「也許一些App還沒有對照片或視頻訪問產生興趣,但不可否認的是,大量的App都合理合法的範圍內申請存儲權限,而這是目前最普遍的被申請權限之一。」
其實這個漏洞,在此前7月谷歌已更新解決Pixel手機中此漏洞,另外三星也隨著修復。具體來說,這次這個漏洞復出,谷歌回應表示很感謝Checkmarx,不過在2019年7月的Play Store更新已經將漏洞更新並向合作夥伴提供。三星也隨之回應表示,已收到谷歌通知,並解決相關問題。
因此,Checkmarx發現的漏洞或是7月前的版本,所以為防止相關漏洞,建議用戶及時升級最新版本。當然,這個漏洞僅僅是安卓手機才會出現的,iOS用戶並不受相關影響。
(21ic原創,作者:付斌)