前段时间日本女星因自拍瞳孔暴露地址遭惨遭跟踪的热度还没过去。Android的相机近期曝出了漏洞,这次不仅是照片泄露地址。
一般情况下,当你新下载一个应用程序,安装之后第一次打开就会有各种各样的权限请求,包括联系人、地理位置、录制视频和拍照等。随着人们安全意识的提高,很多人都不愿意提供这些权限,而是选择拒绝提供,但是这并不代表着就能高枕无忧了。这一切都是源于Android系统自带的相机中的一个新漏洞,该漏洞会导致手机上的其它应用程序在获得相机授权的情况下录制视频、拍照以及获取位置数据。该漏洞名为CVE-2019-2234,研究人员在进行实验后发现,可以结合特制的应用程序来操控Android设备的拍照和录制视频功能。至于这个特制的应用程序是什么呢?它是由研究人员制作的一个天气类App,只要将其安装在Android手机上,就可以将照片、视频和录音悄悄发回研究人员的控制和命令服务器。那么只要犯罪分子想利用此漏洞,只需要任何开发一个任意类型的App,一旦Android手机安装之后,就可以为所欲为了。
攻击者利用该漏洞可以控制受害者的相机,在拍照时静音,没有一点声音,你的照片和视频就发送到犯罪分子的服务器上了。
即使在手机锁屏的情况下,攻击者依然可以打开拍照和录制视频的功能。现在大多数智能手机的拍照功能都会自动存储GPS位置,那么受害者的详细地址也会很轻松被暴露。此外,再加上攻击者可以将SD卡中的历史照片和数据传输到攻击者的服务器上,泄露的数据只会更多。研究人员于今年7月向Google报告了此漏洞,谷歌将此漏洞定为高危级别,并通过Google Play商店发布了更新修复,并向其它Android供应商提供了补丁程序。
* 本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。
* 原文链接:
https://www.bleepingcomputer.com/news/security/android-camera-app-bug-lets-apps-record-video-without-permission/