三星和谷歌相机应用程序容易被劫持 正在修复中
发布日期:2021-08-17 07:38:07
导读 在谷歌、三星和其他原始设备制造商的相机应用程序中发现了一个新的错误。他们可以用手机的摄像头偷偷监控车主。为了成功实施劫持,必须向所
在谷歌、三星和其他原始设备制造商的相机应用程序中发现了一个新的错误。他们可以用手机的摄像头偷偷监控车主。为了成功实施劫持,必须向所有恶意应用程序授予数据存储权限。
谷歌最近一直致力于通过应用程序的隐私保护用户数据的安全,公司采用了更细粒度的权限系统,只在适当的时候要求并授予某些硬件功能的访问权限。不幸的是,Checkmarx在去年7月报告的一个错误可以通过使用看似合法的非相机应用程序来规避。
该应用程序对用户和谷歌的自动反恶意软件系统无害,甚至可能不需要访问数据存储的权限,并且可能保存设置或文件。但是,这个错误会允许劫持相机应用程序,相机应用程序也使用存储权限保存照片和视频,可以远程无声地控制相机应用程序拍摄照片或录制视频,甚至可以使用相机应用程序的GPS访问来获取手机的位置。
Checkmarx研究人员发现了该漏洞,并在周二的分析中表示:“不幸的是,存储权限非常广泛,这些权限可以访问整个SD卡。有大量具有合法用例的应用程序请求访问该商店,但它们对照片或视频并不特别感兴趣。事实上,这是观察到的最常见的请求权限之一。”
虽然其他OEM相机应用程序也可能受到影响,但该漏洞已被命名为影响谷歌和三星的相机应用程序。按照披露规则,安全研究团队在7月份向谷歌通报了该漏洞,三星在今年8月份确认了该漏洞。虽然谷歌表示公司已经解决了问题,但三星尚未发表声明。
标签: