您当前的位置:首页 > 电脑百科 > 安全防护 > 移动

Android曝重大安全漏洞:允许攻击者录制视频、监听通话

时间:2019-11-20 14:44:18  来源:  作者:
Android曝重大安全漏洞:允许攻击者录制视频、监听通话

牛华网讯北京时间11月20日消息,周二,网络安全公司Checkmarx发布了一份爆炸性的报告,称Android系统中存在一个重大的安全漏洞,它可以让恶意应用无需用户许可就能录制视频、拍摄照片和捕获音频,并将内容上传到远程服务器。

Android系统中的这个漏洞可以让攻击者在未经用户同意的情况下获得惊人的广泛手机权限,这个缺陷被称为CVE-2019-2234,它允许应用程序开发者以无与伦比的方式访问设备的摄像头,将用户的手机变成间谍设备。

原本,Android系统应该阻止恶意应用在未经用户许可的情况下访问智能手机的摄像头和麦克风,但是这个漏洞能够让应用无需获得用户的明确许可,只需获得访问设备存储空间的权限,便可以使用摄像头和麦克风来捕获视频和音频,而这通常是大多数应用发送请求,经过用户同意之后才会获得的权限。

据悉,攻击者可以使得相机快门静音,以隐藏其未经同意就录制视频和照片的事实,这些操作甚至可以在关闭恶意应用程序、关闭屏幕并锁定手机时执行。

这个漏洞还允许攻击者访问设备上存储的媒体,以及其库中照片和视频上的GPS数据,它还允许应用程序开发人员窃听通话双方的对话并录制音频。

为了验证事情的真实性,Checkmarx制作了一个类似应用,表面上来看,这个应用像是一个天气应用,但实际上它在后台收集大量数据。测试表明,即使Android手机屏幕或应用处于关闭状态,这个应用也可以拍摄照片和录制视频,还可以访问照片中的位置数据,甚至是监听您的通话。

根据Checkmarx的报告,该公司于7月初就因为这个漏洞与谷歌取得了联系。另外,三星证实,该公司8月下旬也受到这些漏洞的影响。

谷歌发言人在一份提供给Checkmarx的声明中表示:“我们感谢Checkmarx让我们注意到这一点,并与谷歌和Android合作伙伴合作协调披露了相关消息。这个问题已经在受影响的谷歌设备上得到解决,我们已经于2019年7月对谷歌相机应用进行了Play Store更新。同时,我们还已向所有合作伙伴提供了修补程序。”

Checkmarx安全研究主管Erez Yalon在给Arstechnica的一份声明中推测,这个漏洞可能是由于google允许其语音助理访问设备的摄像头造成的。

除了谷歌和三星,目前不清楚还有多少其他Android手机制造商受到了这一漏洞的影响。(完)



Tags:Android   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
今天面试遇到同学说做过内存优化,于是我一般都会问那 Bitmap 的像素内存存在哪?大多数同学都回答在 java heap 里面,就比较尴尬,理论上你做内存优化,如果连图片这个内存大户内存...【详细内容】
2021-12-23  Tags: Android  点击:(8)  评论:(0)  加入收藏
Android logcat日志封装logcat痛点在Android开发中使用logcat非常频繁,logcat能帮我们定位问题,但是在日常使用中发现每次使用都需要传递tag,并且会遇到输出频率很高的log,在多...【详细内容】
2021-12-22  Tags: Android  点击:(8)  评论:(0)  加入收藏
对项目的基本介绍 1.整个框架主要是给MVVM框架使用的,自己写完interface接口后,通过自定义的注解就能自动生成接口方法 2.用Kotlin的Flow去代替Rxjava,因为我发现RxJava功能很...【详细内容】
2021-12-08  Tags: Android  点击:(17)  评论:(0)  加入收藏
前言在Android开发过程中,有些时候会根据需要引用别的项目到当前项目里面,而且以Module形式引用。所以本篇博文就来分享一下怎么以Module形式引用别的项目到当前项目中,方便开...【详细内容】
2021-12-07  Tags: Android  点击:(22)  评论:(0)  加入收藏
新型Android恶意木马程序伪装成数十款街机、射击和策略游戏,通过华为应用市场AppGallery进行分发,从而窃取设备信息和用户的手机号码,全球目前至少有930万台Android设备被该恶...【详细内容】
2021-12-01  Tags: Android  点击:(24)  评论:(0)  加入收藏
作者:fundroid这篇文章偏阅读一些,大家可以了解下 Android 的一些最新动向。每年9/10月份 Google 都会举行约为期2天的 Android Dev Summit,在活动上 Google 的技术专家们会分...【详细内容】
2021-11-30  Tags: Android  点击:(15)  评论:(0)  加入收藏
一、 准备工作1、安装JDK,下载地址(可能需要一个oracle账号,大家百度一下或者自行注册一个就行。尽可能选择8或者11,这两个是长期版本)Java SE | Oracle Technology Network | Or...【详细内容】
2021-11-23  Tags: Android  点击:(28)  评论:(0)  加入收藏
如果你是一名忠实的Android玩家,那么可能会知道,今年的Android 12系统在版本规划上与“往届”相比可以说是很有些特殊。具体来说,除了前段时间刚刚推出正式版的Android 12外,谷...【详细内容】
2021-11-10  Tags: Android  点击:(24)  评论:(0)  加入收藏
使用Maven Publish Plugin插件。(官方支持)一、在Library的build.gradle中配置plugins { id 'com.android.library' id 'kotlin-android' id 'k...【详细内容】
2021-11-05  Tags: Android  点击:(37)  评论:(0)  加入收藏
今年5月,谷歌推出了Android 12,这是原生安卓系统史上最大的设计变化,10月4日,谷歌推出全新的Android12正式版本,并且宣布会在今年晚些时候应用于安卓设备,对比Android11的挤牙膏式...【详细内容】
2021-10-29  Tags: Android  点击:(125)  评论:(0)  加入收藏
▌简易百科推荐
公众号:白帽子左一 领取配套练手靶场、安全全套课程及工具...前言在日常渗透项目中,app渗透可以说是家常便饭了。但由于安卓7以后不信任用户安装的证书,很多时候无法正常抓取数...【详细内容】
2021-12-07  暗网视界    Tags:APP渗透   点击:(31)  评论:(0)  加入收藏
前言登场的目标虽不是SRC,但是整个漏洞的利用手法很有学习意义。目前在很多大厂的http数据包中都会添加sign值对数据包是否被篡改进行校验,而sign算法的破解往往是我们漏洞测...【详细内容】
2021-11-10  IT野涵    Tags:APP渗透   点击:(91)  评论:(0)  加入收藏
一、知识点详解msfconsole,进入msf控制端show options,查看设置的ip地址和端口号是否写入run,根据写入的ip地址和端口号,开启监听服务help,在进入安卓手机的控制端,查看可以使用的...【详细内容】
2021-10-08  Kali与编程    Tags:木马渗透   点击:(63)  评论:(0)  加入收藏
一、准备环境Burpsuite、夜神模拟器二、步骤运行burpsuite,打开代理后,访问 http://burp/ 下载CA证书点击右上角位置下载CA证书将下载的CA证书导入到浏览器中,打开浏览器选择设...【详细内容】
2021-10-08  往右走    Tags:APP渗透测试   点击:(67)  评论:(0)  加入收藏
Apple 设备系统最近面临了许多安全性方面的考验,好在在研究组织 Citizen Lab 地帮忙揭露下,最近一个名为「ForcedEntry」的攻击漏洞,已经被官方确认并提出了建议,建议所有用户安...【详细内容】
2021-09-15  科技洞见未来    Tags:苹果漏洞   点击:(70)  评论:(0)  加入收藏
一、知识点详解webcam_list 查看摄像头的序号Webcam_snap -i 摄像头序号,根据摄像头序号,使用该摄像头拍照二、操作详解在我们的kali虚拟机已经成功连接到安卓手机终端后,调用...【详细内容】
2021-08-26  Kali与编程    Tags:黑客   点击:(71)  评论:(0)  加入收藏
前言众所周知,在互联网信息化时代,各种APP、游戏都需要进行“实名制”,所以人们的“个人信息”也变得十分的重要。而互联网又是一把双刃剑,虽然给人们带来了很多的便利、但同时...【详细内容】
2021-07-29  IT影子    Tags:监听   点击:(209)  评论:(0)  加入收藏
你的手机可能被入侵的方式有几种种。让我们分解每一个,看看一些可能的预防措施。1:手机丢失或被盗如果你丢失了手机,它可能会落入坏人之手。如果他们还有关于你的其他信息,他们...【详细内容】
2021-06-01  视频二爷  今日头条  Tags:网络攻击   点击:(131)  评论:(0)  加入收藏
来源:金融界网骚扰电话接不完?信箱里的垃圾短信堆成山?莫名其妙被扣费?网络诈骗玩起“剧本杀”?近日,360联合中国信息通信研究院发布了《2020年中国手机安全状况报告》(以下简称《...【详细内容】
2021-02-02      Tags:手机安全   点击:(146)  评论:(0)  加入收藏
道高一尺,魔高一丈!科技的发展,在推动社会进步的同时,也让无良之徒有机可乘。随着手机扫码的普及,不法分子也纷纷打起了二维码的主意,让你扫进他的陷阱,落入他的圈套。曾经听说某...【详细内容】
2020-12-02      Tags:二维码   点击:(216)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条