近日,据安全公司Checkmarx调查发现,谷歌与三星等公司的安卓智能手机存在严重安全漏洞。具体为恶意应用无需用户许可即可录制视频、拍摄照片、捕获音频、获取GPS数据,另外,最为糟糕的就是这个漏洞还能让这些内容上传到远程服务器。
该漏洞名称被命名为CVE-2019-2234。截至目前获悉,至少要有数百万台安卓设备受到影响。众所周知,安卓App必须开放相关权限才能使用,但这个漏洞可以让App绕过这种操作直接截获信息。
那么到底是如何实现绕过权限的?Checkmarx研究人员经过对谷歌Pixel的相机App的分析,发现许多权限结合在一起便可以操纵设备的相机,进而拍摄照片或录制视频。
另外,Checkmarx的研究人员还发现具有“存储”权限的App竟然可以访问设备上SD卡的全部内容,同时该APP无需获得以上权限就可以使用相机App的所有开放功能。
不仅如此,GPS的元数据通常会嵌入到照片中,攻击者可以利用这一点通过对拍摄照片或视频的EXIF数据稍加解析,便可以获取用户的定位。
“也许一些App还没有对照片或视频访问产生兴趣,但不可否认的是,大量的App都合理合法的范围内申请存储权限,而这是目前最普遍的被申请权限之一。”
其实这个漏洞,在此前7月谷歌已更新解决Pixel手机中此漏洞,另外三星也随着修复。具体来说,这次这个漏洞复出,谷歌回应表示很感谢Checkmarx,不过在2019年7月的Play Store更新已经将漏洞更新并向合作伙伴提供。三星也随之回应表示,已收到谷歌通知,并解决相关问题。
因此,Checkmarx发现的漏洞或是7月前的版本,所以为防止相关漏洞,建议用户及时升级最新版本。当然,这个漏洞仅仅是安卓手机才会出现的,iOS用户并不受相关影响。
(21ic原创,作者:付斌)