ANDROID BUG让黑客秘密记录视频和偷图片

研究人员说，最近在Android设备中发现的安全漏洞可能被利用来秘密录制视频和窃取图片。

安全公司Checkmarx发现了流行的智能手机制造商Google和Samsung的设备中的相机应用程序错误，该漏洞已于昨日披露。该团队表示，其发现“对成千上万的智能手机用户具有重要意义。”

据Ars Technica报道，有关概念验证黑客的视频显示，诱骗诱饵的应用程序可能会绕过基本权限而滥用相机应用程序。

Checkmarx的研究人员通过创建一个假冒和恶意的天气应用程序演示了主要问题，这种应用程序可以轻松地潜入官方应用程序商店。

该团队展示了在运行Android 9软件的Google Pixel 2 XL智能手机上运行的错误。

如果受害者打开了恶意应用程序，则将与潜伏在后台并等待接收命令的攻击者服务器建立静默连接。该连接将是持久的，这意味着即使关闭了狡猾的应用程序或锁定了电话屏幕，该连接仍然存在。

据Checkmarx称，攻击者将能够实时远程拍摄照片，录制视频并获取GPS数据。攻击者可以使用手机的后置摄像头查看人的周围环境，并从手机的SD卡中窃取照片和视频。

本质上，概念验证使团队可以绕过存储许可策略。专家说：“ Checkmarx研究人员设计了一种攻击方案，该方案通过滥用Google Camera应用程序本身来迫使其以攻击者的身份进行工作，从而绕过了此许可策略。”

受影响设备的完整列表仍然未知，但该安全公司声称谷歌证实了相机应用程序的问题“已扩展到更广泛的Android生态系统中”。

该漏洞的披露是与Google和Samsung协作进行的，它们推出了安全补丁。用户可以更新他们的移动软件以保护自己。

谷歌发言人在本周的一份声明中说：“我们很高兴Checkmarx引起我们的注意，并与Google和Android合作伙伴合作以协调披露。” “该问题已通过2019年7月Google Play商店对Google Camera Application的更新在受影响的Google设备上得到解决。所有合作伙伴都已获得了补丁。”

像新的Pixel 4中提供的那样，最新的Android 10软件提供了前所未有的更大的应用程序许可透明度。所有用户都应监视正在授予的访问权限。

Checkmarx在时间表中表示，Google在7月23日将漏洞的严重性提高到“高”，并在8月下旬开始与其他供应商联系。三星没有立即回应置评请求，要求提供有关何时推出此修复程序的信息。

一位发言人告诉Ars：“自从Google收到有关此问题的通知以来，我们随后发布了补丁程序以解决可能受到影响的所有三星设备型号。我们重视与Android团队的合作关系，这使我们能够直接识别并解决此问题。 ”

Google Pixel 3a于2019年5月7日在加利福尼亚山景城的海岸线露天剧场举行的2019 Google I / O会议上展出。