谷歌三星已确认安卓手机存在漏洞,你的手机还安全吗
(文章来源:互联范儿)
谷歌和三星等公司的android智能手机存在安全漏洞,允许恶意应用录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。该漏洞是由安全公司checkmarx发现的,该漏洞有可能使高价值目标敞开,使其周围环境被智能手机非法记录。
迄今为止发现的影响谷歌和三星的智能手机的漏洞可能会影响数亿android用户。研究人员发现了什么?这是攻击者控制手机和手机的远程控制,远程拍照,录制视频,监视对话的一种方式,方法是在将手机举到耳边,确定你的位置等时进行记录。所有这些操作都是在后台静默执行的,用户都毫无察觉。
当checkmarx安全研究小组开始在即将到来的pixel 2xl和pixel 3智能手机上研究谷歌相机应用程序时,他们发现了几个漏洞。所有这些都是由允许攻击者绕过用户权限的问题引起的。checkmarx安全研究主管说:“我们的团队找到了一种处理特定动作和意图的方法,这使得没有特定权限的任何应用程序都可以控制谷歌相机应用程序。仅仅考虑到google和三星智能手机的覆盖范围,这些漏洞的影响就对数亿用户构成了重大威胁。
漏洞本身允许恶意应用程序从摄像机,麦克风和gps位置数据中获取所有远程输入。能够执行此操作的含义非常严重,以至于android开放源代码项目(aosp)专门具有一组权限,任何应用程序都必须向用户请求并获得许可,然后才能启用此类操作。checkmarx研究人员所做的就是创建一种攻击场景,该攻击场景滥用了google camera应用本身来绕过这些权限。他们通过创建一个恶意应用来实现这一目的,该应用利用了最常请求的权限之一:存储访问。运行在android智能手机上的恶意应用程序可以读取sd卡,访问过去的照片和视频。
使用智能手机相机拍摄照片并将其上传到命令服务器。使用智能手机摄像头录制视频并将其上传到命令服务器。通过监视智能手机接近传感器来确定何时将手机放在耳边并记录通话双方的音频,从而等待语音通话开始。在那些受监视的呼叫期间,攻击者还可以在捕获音频的同时录制用户的视频。
从所有拍摄的照片中捕获gps标签,并使用它们在全局地图上定位所有者。访问并复制存储的照片和视频信息,以及在攻击过程中捕获的图像。通过在拍照和录制视频时使智能手机静音来隐秘地进行操作,因此不会响起相机快门的声音来提醒用户。无论智能手机是否已解锁,都可以启动照片和视频录制活动。
7月4日开始披露信息,当时checkmarx向google的android安全团队提交了漏洞报告。7月13日,google最初将漏洞的严重性设置为中度,但在checkmarx进一步反馈后,该漏洞在7月23日被提高到较高水平。8月1日,google确认该漏洞影响了更广泛的android生态系统,其他智能手机供应商也受到了影响。8月18日,与多家供应商联系,8月29日,三星确认该漏洞影响了他们的设备。
google一位发言人说:“我们很高兴checkmarx引起我们的注意,并与google和android合作伙伴合作以协调披露。通过在7月通过play商店对google camera application的更新,受影响的google设备上已解决了该问题,还向所有合作伙伴提供了补丁”。建议更新至最新版本的android操作系统,确保已应用最新的可用安全修复程序,并建议为设备使用最新版本的相机应用程序,以减轻风险。
电磁打点计时器用什么电源_电磁打点计时器工作电压
数学推导+纯Python实现机器学习算法
新乘用车将强制标配胎压监测
图像处理常用算法总结
蓝牙音频设备的噪声抑制和音质提升
谷歌三星已确认安卓手机存在漏洞,你的手机还安全吗
西「景」洞察丨《关于落实数字中国建设总体部署,加快推动智慧民航建设发展的指导意见》
安捷伦技术-NFC测试得心应手
SC22 | 更加环保和节能:NVIDIA 赋能的新一代系统指明数据中心未来发展方向
探索实时音视频云,七牛云赞助 GOTC 全球开源技术峰会
机器人热潮不减,2020年12月过亿元融资案例9起
三菱考虑取消汽车的后视镜_用摄像头和AI技术来导航
O.S. Engines FS-V系列单汽缸发动机的特点
Melexis锁存器和开关芯片的独特性
拓斯达推出全新TRH15系列高负载SCARA机器人
自动化设备电气故障如何处理
步进电机矩频特性曲线分析
基于5G基站大力发展智慧路灯
思科、华为、H3C、锐捷交换机的基础配置命令
工业物联网互联互通白皮书发布
谷歌和三星等公司的android智能手机存在安全漏洞,允许恶意应用录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。该漏洞是由安全公司checkmarx发现的,该漏洞有可能使高价值目标敞开,使其周围环境被智能手机非法记录。
迄今为止发现的影响谷歌和三星的智能手机的漏洞可能会影响数亿android用户。研究人员发现了什么?这是攻击者控制手机和手机的远程控制,远程拍照,录制视频,监视对话的一种方式,方法是在将手机举到耳边,确定你的位置等时进行记录。所有这些操作都是在后台静默执行的,用户都毫无察觉。
当checkmarx安全研究小组开始在即将到来的pixel 2xl和pixel 3智能手机上研究谷歌相机应用程序时,他们发现了几个漏洞。所有这些都是由允许攻击者绕过用户权限的问题引起的。checkmarx安全研究主管说:“我们的团队找到了一种处理特定动作和意图的方法,这使得没有特定权限的任何应用程序都可以控制谷歌相机应用程序。仅仅考虑到google和三星智能手机的覆盖范围,这些漏洞的影响就对数亿用户构成了重大威胁。
漏洞本身允许恶意应用程序从摄像机,麦克风和gps位置数据中获取所有远程输入。能够执行此操作的含义非常严重,以至于android开放源代码项目(aosp)专门具有一组权限,任何应用程序都必须向用户请求并获得许可,然后才能启用此类操作。checkmarx研究人员所做的就是创建一种攻击场景,该攻击场景滥用了google camera应用本身来绕过这些权限。他们通过创建一个恶意应用来实现这一目的,该应用利用了最常请求的权限之一:存储访问。运行在android智能手机上的恶意应用程序可以读取sd卡,访问过去的照片和视频。
使用智能手机相机拍摄照片并将其上传到命令服务器。使用智能手机摄像头录制视频并将其上传到命令服务器。通过监视智能手机接近传感器来确定何时将手机放在耳边并记录通话双方的音频,从而等待语音通话开始。在那些受监视的呼叫期间,攻击者还可以在捕获音频的同时录制用户的视频。
从所有拍摄的照片中捕获gps标签,并使用它们在全局地图上定位所有者。访问并复制存储的照片和视频信息,以及在攻击过程中捕获的图像。通过在拍照和录制视频时使智能手机静音来隐秘地进行操作,因此不会响起相机快门的声音来提醒用户。无论智能手机是否已解锁,都可以启动照片和视频录制活动。
7月4日开始披露信息,当时checkmarx向google的android安全团队提交了漏洞报告。7月13日,google最初将漏洞的严重性设置为中度,但在checkmarx进一步反馈后,该漏洞在7月23日被提高到较高水平。8月1日,google确认该漏洞影响了更广泛的android生态系统,其他智能手机供应商也受到了影响。8月18日,与多家供应商联系,8月29日,三星确认该漏洞影响了他们的设备。
google一位发言人说:“我们很高兴checkmarx引起我们的注意,并与google和android合作伙伴合作以协调披露。通过在7月通过play商店对google camera application的更新,受影响的google设备上已解决了该问题,还向所有合作伙伴提供了补丁”。建议更新至最新版本的android操作系统,确保已应用最新的可用安全修复程序,并建议为设备使用最新版本的相机应用程序,以减轻风险。
电磁打点计时器用什么电源_电磁打点计时器工作电压
数学推导+纯Python实现机器学习算法
新乘用车将强制标配胎压监测
图像处理常用算法总结
蓝牙音频设备的噪声抑制和音质提升
谷歌三星已确认安卓手机存在漏洞,你的手机还安全吗
西「景」洞察丨《关于落实数字中国建设总体部署,加快推动智慧民航建设发展的指导意见》
安捷伦技术-NFC测试得心应手
SC22 | 更加环保和节能:NVIDIA 赋能的新一代系统指明数据中心未来发展方向
探索实时音视频云,七牛云赞助 GOTC 全球开源技术峰会
机器人热潮不减,2020年12月过亿元融资案例9起
三菱考虑取消汽车的后视镜_用摄像头和AI技术来导航
O.S. Engines FS-V系列单汽缸发动机的特点
Melexis锁存器和开关芯片的独特性
拓斯达推出全新TRH15系列高负载SCARA机器人
自动化设备电气故障如何处理
步进电机矩频特性曲线分析
基于5G基站大力发展智慧路灯
思科、华为、H3C、锐捷交换机的基础配置命令
工业物联网互联互通白皮书发布