安全研究人员发现Google及三星手机、以及其他Android手机的相机程序有可绕过存取权限检查的漏洞,可让黑客用来暗中拍照录影、甚至定位用户所在位置。但研究人员相信所有Android手机都有风险。
安全厂商Checkmarx研究小组在Google Pixel 2 XL和Pixel 3的相机程序上发现一项和权限绕过(permissionbypass)有关的安全漏洞,编号CVE-2019-2234。首先,研究团队发现透过操弄一些特定的actions和intents,攻击者可利用非法、没有权限的应用程式控制Google相机程序,用它来拍照或录影。攻击者还可绕过手机储存权限政策存取手机里的视频、相片及相片的GPSmetadata。只要用这些视频、相片、分析其中的EXIF资讯,即可定位出用户所在位置。随后研究团队也发现同一技巧也可用来骇入三星手机的相机程序,他们相信所有Android手机都有这个风险。
研究人员解释,存取相机、麦克风、GPS资料是相当具侵略性的行为,因此AOSP设计了一系列权限许可,应用程式必须取得用户许可才能存取这些资料。而其中,又以存取SD卡为最多应用程式要求的权限,即使手机中的视频和相片对这些应用程式根本没用。
为进行概念验证攻击,研究团队开发了一款恶意天气程序,一旦在Android手机上开启,即暗中和外部C& C服务器建立连线,等待接收攻击指令。研究人员成功以这只恶意程式控制Google相机程序来拍照、录音并上传到恶意服务器,并分析照片的GPS资讯来定位。此外,恶意程序还能等待有人打来电话、自动启动录音,还可以同时录影。这些动作可不发出声音进行,甚至能在手机锁住、屏幕关机时进行攻击。
研究团队在7月发现漏洞后通报Google,Google证实此事,并将之风险由最初的"中度"风险提升为"高度"。他们也通知了三星及其他Android手机品牌业者,也获得三星证实。Google已在7月更新Google相机(Camera)app并对硬件厂商发布修补程序。
电话咨询
在线咨询