安卓通讯录管理软件_安卓又曝严重漏洞,或监控数亿用户,请尽快更新系统补丁!...
?Checkmarx 對安卓漏洞的披露與講解
繼 iOS 版 Facebook 曝出重大漏洞,出現(xiàn)讓 App 能在后臺調(diào)用相機的情況后(目前該漏洞已經(jīng)修復(fù)),Android 陣營也出現(xiàn)類似情況。
安卓系統(tǒng)的相機 App 近期被曝出一個新漏洞,這個漏洞導(dǎo)致其它 App 在沒有獲得必要權(quán)限的情況下可以拍攝視頻、照片并從儲存器中提取 GPS 數(shù)據(jù)。
漏洞的影響與原因?
一般而言,一款應(yīng)用想要錄制視頻、拍攝照片或者獲取設(shè)備位置,必須獲得以下權(quán)限:相機使用權(quán)限、視頻錄制權(quán)限、獲取精確位置權(quán)限以及獲取粗略位置權(quán)限。
但據(jù) Checkmarx 的研究人員近期披露的一個新漏洞,谷歌和三星即使其它 App 沒有獲得谷歌 App 的權(quán)限,它們也一樣可以拍照、錄制視頻或者獲取設(shè)備位置,并且可以訪問設(shè)備上 SD 卡的全部內(nèi)容。
“不僅如此,GPS 的元數(shù)據(jù)通常會嵌入到照片中,攻擊者可以利用這一點通過對拍攝照片或視頻的 EXIF 數(shù)據(jù)稍加解析,便可以獲取用戶的定位。”
也許一些App還沒有對照片或視頻訪問產(chǎn)生興趣,但不可否認(rèn)的是,大量的App都合理合法的范圍內(nèi)申請存儲權(quán)限,而這是目前最普遍的被申請權(quán)限之一。”
這一漏洞被命名為 CVE-2019-2234,僅僅考慮到 Google 和三星手機的覆蓋范圍,這些漏洞可能會對數(shù)億用戶產(chǎn)生影響,甚至是威脅。
為了進(jìn)行測試,Checkmarx 的研究人員創(chuàng)建了一款偽裝成天氣類應(yīng)用程序的概念 App,測試中,該 App 竟然可以將照片、視頻和電話錄音悄無聲息的發(fā)送回研究人員控制下的服務(wù)器。
最終檢測確認(rèn),該漏洞可以允許沒有應(yīng)用權(quán)限的 App 執(zhí)行以下操作:
1. 在手機鎖定或屏幕關(guān)閉的情況下拍攝照片并錄制視頻;
2. 通過儲存器中的照片獲取 GPS 位置數(shù)據(jù);
3. 在拍照和錄制視頻時,監(jiān)聽雙向?qū)υ?#xff1b;
4. 將相機快門靜音,讓受害者在拍照時聽不到聲音;
5. 傳輸存儲在 SD 卡中的歷史視頻和照片。
回應(yīng)《Ars Technica》網(wǎng)站的信件中, Checkmarx 并沒有明確指出有哪些應(yīng)用程式可以在沒有獲得使用者明確授權(quán)的情況下,就取得相機、麥克風(fēng)的使用權(quán)限。
Checkmarx 方面僅推測,該漏洞可能是因為 Google 讓 Google 助理(Google Assistant)可以與相機連動工作有關(guān)。
谷歌回應(yīng)已提供補丁
近日谷歌和三星聯(lián)合發(fā)布了這一信息,以確保兩家公司都已發(fā)布漏洞補丁。
然而,漏洞信息剛被披露時,谷歌最初僅將漏洞的嚴(yán)重程度設(shè)置為中等,直到在Checkmarx 進(jìn)一步反饋之后,嚴(yán)重程度才被調(diào)為「高」。
在媒體聯(lián)系谷歌后,一位發(fā)言人表示:“我們很感謝 Checkmarx 提醒我們注意到這一漏洞,并與谷歌和 Android 的合作伙伴合作,協(xié)調(diào)信息披露。通過 Google Play 商店發(fā)布的 Google Camera 應(yīng)用程序的更新,受影響的谷歌手機已經(jīng)解決了該問題。我們也已經(jīng)向所有合作伙伴提供了該補丁。”
但谷歌在聲明中只表示「其補丁已提供給所有合作伙伴」,但它沒有透露其他制造商的任何安卓設(shè)備目前是否仍然會受到影響,也就是 Pixel 以外的安卓手機。
其他手機仍有安全隱患
針對所發(fā)現(xiàn)的 Android 相機漏洞, Checkmarx 引述 Google 方面的說法是,其他 Android 手機的相機 App 也可能受到攻擊,但是并沒有明確指明受影響的 Android 手機品牌以及手機型號。
因此,除了 Google 以及三星手機使用者外,其余品牌手機的使用者,使用手機時可以多多留心是否有意外的網(wǎng)路流量消耗,或是莫名耗電的情況,有可能其中一個原因就是有惡意程式在背景偷偷運作。
建議不要從非官方(Google Play Store)的渠道下載應(yīng)用程序(APK),并且建議所有用戶將安卓系統(tǒng)升級到最新版本,以確保你的設(shè)備上使用的是最新的相機 App。
對于普通用戶,手機信息安全真的重要嗎?
對普通人來說,信息安全這種個東西,擁有的時候并不重要,失去的時候才知道很重要。通過我們的手機系統(tǒng),無良應(yīng)用不僅能獲得手機序列號、地理位置、手機容量這類不算特別隱私的數(shù)據(jù),應(yīng)用采集數(shù)據(jù)后一般會進(jìn)行合理的用戶畫像分析和用戶標(biāo)簽整理,root 過的安卓系統(tǒng),用戶安裝了哪些應(yīng)用、通訊錄名單、通話記錄等極為隱私的數(shù)據(jù)都有可能被后臺采集并違規(guī)使用或在黑市販賣。單說我們的個人財產(chǎn)信息,你總不想一覺醒來,自己支付寶的錢都不翼而飛吧?還有就是,我們每個人都是「群體」中的一份子、大數(shù)據(jù)海洋中的一朵浪。對于很多公司來說,他們之所以要收集你的信息,可能并不是為了你這攤水,而是為了整片海洋。最后,還是要很遺憾的告訴大家,現(xiàn)在幾乎所有的系統(tǒng)都不安全,無論是否聯(lián)網(wǎng),無論安全級別有多高。但如果能稍加注意,還是可以降低風(fēng)險(歡迎在留言區(qū)提供更多安全注意事項):iOS
1. 盡可能不要越獄(現(xiàn)在越獄的意義已經(jīng)不大了);2. 越獄后也請務(wù)必更改 root 密碼,最好是在終端或者是可靠的 root 權(quán)限管理軟件里修改;3. 盡量使用 PIN +?指紋,一定要記得保護(hù)好 Apple ID 賬戶,最好是建立兩個 Apple ID 互為密碼找回手段&使用不同的復(fù)雜密碼。Android
1. 盡可能不要 root;2. root 后要注意妥善管理 root 權(quán)限;
3. 不要安裝任何來歷不明的軟件,盡量從官方渠道下載安裝包;
4. 如無必要,不要開啟開發(fā)者模式;
最后一點任何貪小便宜的行為都可能會吃大虧-? END -
總結(jié)
以上是生活随笔為你收集整理的安卓通讯录管理软件_安卓又曝严重漏洞,或监控数亿用户,请尽快更新系统补丁!...的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: bilibili有电脑版吗_你体验过电脑
- 下一篇: 电脑屏幕保护怎么取消_怎么监控员工电脑?