细思极恐!安卓被曝严重漏洞,你中招了没？

终端研发部 2022-08-26

点击上方的终端研发部，右上角选择“设为星标”

每日早10点半，技术文章准时送上

公众号后台回复“学习”，获取作者独家秘制精品资料

前言

近日,问题频发的安卓系统又被爆出系统存在重大漏洞。第三方软件无需授权即可调用摄像头权限并进行数据上传。

以色列安全公司Checkmarx于前几天曝出曾发现的安卓系统漏洞：恶意应用只要获得基本的存储访问，便可以绕过用户的许可，调用摄像头和麦克风拍照、录像、录音。所幸，谷歌和三星表示已经修复了漏洞。

Android本应阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风，但这个漏洞能让应用无需获得用户的明确许可，只需获得访问设备存储空间的权限，即可使用摄像头和麦克风来捕获视频和音频，而这通常是大多数应用要求获得的权限。

为了验证事情的真实性，Checkmarx制作了一个类似应用，表面上看起来像是个天气应用，但实际上在后台收集大量数据。测试发现，即使手机屏幕或应用处于关闭状态，这个应用也可以拍摄照片和录制视频，还可以访问照片中的位置数据，甚至是监听你的电话。

对于上述问题，谷歌表示：“我们很感谢Checkmarx让我们注意到这一点，并与谷歌和Android的合作伙伴协调披露了相关消息。这个问题已经在受影响的谷歌设备上得到解决，我们在2019年7月对谷歌相机应用进行了Play Store更新。我们还已向所有合作伙伴提供了一个补丁。”根据Checkmarx的说法，谷歌表示其他厂商的Android手机也可能受到攻击，但尚未披露具体的制造商和手机型号。

该漏洞影响了自今年 7 月以来还没更新过的谷歌相机和三星相机APP。在正常情况下，第三方应用程序需要获得访问摄像机、录制音频和访问位置数据的明确权限。但是研究人员发现，只需获得访问设备SD卡的权限，在没有授权的情况下，这些应用也可以获得使用摄像头和麦克风来捕获视频和音频权限。研究人员称，通过这种方式，黑客可以创建一个恶意应用程序获取储访问权限，并从那里获取相机应用程序的权限而无需用户许可。

研究人员称，这种恶意APP不仅可以访问用户过去的照片和视频，还可以随意启动相机拍摄新的照片和视频。此外，由于GPS数据通常都嵌入到照片中中，因此黑客还可以通过拍摄照片或视频解析EXIF数据来获取用户数据。目前，谷歌和三星表示相关的相机应用程序的漏洞已经修复。这里还是要提醒谷歌和三星用户要确保他们运行的不仅仅是最新版本的安卓系统，还有最新版本的安卓设备相机应用程序。

据以色列安全公司Checkmarx曝光,安卓系统存在一个CVE-2019-2234漏洞,该漏洞允许流氓APP远程获取摄像头、麦克风和GPS位置数据的输入。这一行为十分敏感,所以安卓开源项目特别设置了一组权限,要求任何APP都必须先向用户请求,获得批准才能调用。

Checkmarx创建了一个攻击场景,利用“存储访问”权限的漏洞,不仅可以调用存储在手机中的照片和视频数据,还获得了随时调用摄像头的权限。由于存储访问相对来说没那么敏感,大多数用户在授权方面并不在意。Checkmarx安全团队表示,这种漏洞主要利用谷歌相机APP,同时三星的相机应用也存在相同状况,因此这2大厂商最有可能受影响。他们称,这一漏洞会威胁“数以亿计”的用户。

数据安全并不是一个简单的事情,安全防线需要每一个环节进行守护。用户使用手机它需要手机终端硬件安全的、系统是安全的、手机里的应用是可靠的、用户连接的网络无风险,用户仍需要注意使用手机过程中的安全。这其实是属于对于用户而言最直观的两个环节:终端和应用。

手机对于数据的使用,是要以安全为前提的。对于数据和隐私,需要进行多重保护措施:

1、信息获取需要用户授权,只有在用户授权的情况下智能应用方可对用户的行为特征、兴趣爱好等隐私信息进行收集,并且所有隐私数据不对第三方开放;

2、所有用户隐私数据只在本地进行处理,不会上传到服务器;

3、用户隐私数据的保存、加密和解密皆在芯片内完成,操作系统无法接触密钥的加解密过程;

4、为了防止恶意入侵,智能系统应当有反制措施,一旦发现“机器学习”过程中存在异常,会拒绝执行用户隐私数据的解密功能,确保安全。