只要智能手机装有相机,智能手机中的相机就一直存在偏执狂。有人可以入侵您的手机,打开相机并观看吗?还是记录?好吧,事实证明是的,他们可以。至少,如果您是Google或Samsung智能手机上潜在的“数亿” Android用户之一,他们就可以。
此问题最早由Checkmarx的安全研究小组发现(至少是公开发现)。他们说,在对Pixel 3中的Google Camera应用程序进行了详细分析之后,他们发现了一种操纵某些代码的方法来控制相机以拍摄照片或录制视频,即使手机在屏幕关闭的情况下被锁定,并且在用户不知情的情况下。
他们的测试也在Google Pixel 2 XL上进行,最终发现了多个漏洞,这些漏洞使应用程序可以完全绕开操作系统权限。他们还发现,这些相同的漏洞也影响了三星智能手机,也可能影响了其他智能手机制造商。
该团队创建了一对概念验证应用程序。您可能在不知不觉中从Google Play商店下载了一个恶意应用。另一个是攻击者的命令和控制(C&C)服务器。恶意应用基本上是正常且外观良好的天气应用的模型。但是,它允许C&C的操作员查看连接到它的设备并执行许多相当可怕的操作,包括以下内容……
- 在受害者的手机上拍照,然后将其上传(检索)到C&C服务器
- 在受害者的电话上录制视频,然后将其上传(检索)到C&C服务器
- 解析所有最新的GPS标签照片,并在全球地图上定位手机
- 在隐身模式下操作,在拍照和录制视频时手机保持静音
- 等待语音通话并自动录音:
- 来自受害者一侧的视频
- 对话双方的音频
Checkmarx的YouTube频道上方的视频显示了运行中的概念验证应用。该漏洞于四个月前于2019年7月4日首次提交给Google的Android安全团队,以及概念验证的恶意应用程序。尚不清楚在此之前其他人可能已经知道了多长时间。
谷歌最初将发现的严重性设置为“中等”,但是在Checkmarx团队向谷歌发送了更多反馈之后,它被提高为“高”。 Google确认该漏洞可能会影响其他Android智能手机供应商。三星确认他们也在8月29日受到影响。该漏洞的消息是在昨天发布的,目的是让两家供应商(可能还有其他厂商)有时间在该问题公开之前解决这些问题。
我们非常感谢Checkmarx引起我们的注意,并与Google和Android合作伙伴合作以协调披露。该问题已通过2019年7月Google Play商店对Google Camera Application的更新对受影响的Google设备进行了解决。还向所有合作伙伴提供了一个补丁。
- 谷歌
补丁已发布,您的Android设备很可能会提醒您是否有新更新(如果尚未安装)。过去一两天,我所有的Android设备都亮起,以通知我有关Google的新安全更新,这无疑是为了解决此特定问题。
我可以看到,Checkmarx并未明确表示,但是某些不再接收操作系统或安全更新的较旧设备可能会受到此漏洞的影响。而且某些更新可能要由您的电话运营商而不是制造商来交付。
因此,对于那里的偏执狂,Facebook可能尚未监控您手机的摄像头和麦克风。但是,如果他们愿意,他们可以做到。他们甚至可以在不征求许可的情况下完成此操作,或者您不知道他们正在访问它。
您可以在此处获取有关漏洞利用的完整报告。
[通过福布斯]