近日,安卓系統備被曝出現一個漏洞,讓攻擊者在未經用戶允許的情況下可以偷偷拍攝照片和錄製視頻。這個漏洞編號為CVE-2019-2234。
該漏洞影響了自今年 7 月以來還沒更新過的谷歌相機和三星相機APP。在正常情況下,第三方應用程序需要獲得訪問攝像機、錄製音頻和訪問位置數據的明確權限。但是研究人員發現,只需獲得訪問設備SD卡的權限,在沒有授權的情況下,這些應用也可以獲得使用攝像頭和麥克風來捕獲視頻和音頻權限。研究人員稱,通過這種方式,黑客可以創建一個惡意應用程序獲取儲訪問權限,並從那裡獲取相機應用程序的權限而無需用戶許可。研究人員稱,這種惡意APP不僅可以訪問用戶過去的照片和視頻,還可以隨意啟動相機拍攝新的照片和視頻。此外,由於GPS數據通常都嵌入到照片中中,因此黑客還可以通過拍攝照片或視頻解析EXIF數據來獲取用戶數據。
目前,谷歌和三星表示相關的相機應用程序的漏洞已經修復。這裡還是要提醒谷歌和三星用戶要確保他們運行的不僅僅是最新版本的安卓系統,還有最新版本的安卓設備相機應用程序。