Google和三星已经确认存在安全漏洞,即使您的设备被锁定,网络攻击者也可以利用这些漏洞劫持您的手机摄像头并秘密地拍照或录制视频。
周二,Checkmarx安全研究总监Erez Yalon 披露了这些漏洞,该漏洞的总体跟踪记录为CVE-2019-2234,该漏洞源于权限绕过问题。
该小组通过在Google Pixel 2 XL和Pixel 3上浏览Google Camera应用程序,开始了对我们智能手机相机功能安全性的调查,结果发现他们可以篡改特定动作,并总体上做到“没有特定权限的任何应用程序都可以控制Google Camera应用程序。”
这包括拍照和录制视频,即使目标设备被锁定或屏幕关闭,或者受害者正处于通话中,所有这些都是潜在的攻击媒介,可能导致监视和攻击。严重侵犯隐私。
对于移动应用程序,要获取对来自摄像头,麦克风或位置服务的敏感信息的访问权,Google严格要求。结果,用户必须接受权限请求,但是在Checkmarx的攻击情形中,这些要求被绕过了。
Android相机应用程序通常将图像和视频存储在SD卡上,因此要使应用程序访问此内容,它们需要存储权限。
研究人员指出:“软件申请存储权限非常广泛,这些权限可以访问整个SD卡。” “有大量具有合法用途的应用程序请求访问存储权限。“
目前看来机械升降式摄像头还是能有一丝安全保障的。
,
