据外媒爆料,安全公司Checkmarx发现,谷歌和三星等公司的Android智能手机存在一个安全漏洞,可让恶意应用无需用户许可就能录制视频、拍摄照片和捕获音频,并将内容上传到远程服务器。
这个漏洞有可能会让高价值目标的周边环境被智能手机非法记录。Android本应阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风,但这个漏洞能让应用无需获得用户的明确许可。只需获得访问设备存储空间的权限,即可使用摄像头和麦克风来捕获视频和音而这通常是大多数应用要求获得的权限。
为了搞清楚这个漏洞是如何运作的,Checkmarx开发了一个概念验证应用,表面上看起来像是个天气应用,但实际上在后台收集大量数据。
测试发现,即使手机屏幕或应用处于关闭状态,这个应用也可以拍摄照片和录制视频,还可以访问照片中的位置数据。该应用能在“隐形”模式下运行,消除相机快门的声音,还可以录制双向电话通话,并可将所有数据上传到远程服务器。
在测试人员利用这个漏洞进行攻击时,被攻击的智能手机的屏幕会在录制视频或拍照时显示摄像头,以便让受影响的用户知道发生了什么。
这个漏洞可以在智能手机显示屏看不见或设备屏幕朝下时被秘密利用,而且可以使用一项功能,利用近距离传感器来确定智能手机何时屏幕朝下。
根据Checkmarx的说法,谷歌表示其他厂商的Android手机也可能受到攻击,但尚未披露具体的制造商和手机型号。
所幸,谷歌和三星表示已经修复了漏洞。谷歌通过7月发布的摄像头更新解决了Pixel手机中的这个漏洞,三星也修复了该漏洞,但具体时间还不清楚。