11月21日消息,根据外媒GSMArena报道,一组安全研究人员找到了一种通过访问手机存储空间就可以绕过Android权限的方法。
安卓被曝严重漏洞是怎么回事?
近日,以色列的安全公司“Checkmarx”曝光了他们曾在安卓系统中发现了漏洞“CVE-2019-2234”——恶意应用只要获得了基本的存储访问,就可以绕过用户的许可,调用摄像头和麦克风拍照、录像、录音。
Checkmarx的研究人员发现具有“存储”权限的App竟然可以访问设备上SD卡的全部内容,同时该APP无需获得以上权限就可以使用相机App的所有开放功能。
一般而言,一款应用想要录制视频、拍摄照片或者获取设备位置,必须获得以下权限:安卓相机使用权限、安卓视录制权限、获取精确位置权限以及获取粗略位置权限。
“安卓智能手机上恶意运行的App可以读取SD卡,该App不仅可以访问已有的照片和视频,而且可以利用这种新的攻击方法定向启动相机,从而拍摄照片或录制视频。不仅如此,GPS的元数据通常会嵌入到照片中,攻击者可以利用这一点通过对拍摄照片或视频的EXIF数据稍加解析,便可以获取用户的定位。”
Checkmarx于2019年7月4日向谷歌指出了该漏洞,7月23日,谷歌将此漏洞提升为“高危漏洞”级别。8月1日,谷歌证实了Checkmarx研究人员怀疑的漏洞的确存在,谷歌相机确实会影响其它搭载安卓系统的移动设备,该漏洞被命名为CVE-2019-2234。