跳至正文
-
欢迎您时常回来看看,不错过任何精彩文章。收藏本站!
第七手机网

中国大型手机资讯类网站! https://www.7shouji.com

第七手机网

中国大型手机资讯类网站! https://www.7shouji.com

  • 首页
  • 资讯
  • 热门品牌
  • 新机曝光
  • 安卓频道
  • 苹果频道
  • 智能家居
  • 手游
  • 5G频道
  • VR
  • 趣闻
  • 智能生活
  • 首页
  • 资讯
  • 热门品牌
  • 新机曝光
  • 安卓频道
  • 苹果频道
  • 智能家居
  • 手游
  • 5G频道
  • VR
  • 趣闻
  • 智能生活
关

搜索

智能家居

安卓又爆漏洞!黑客可伪装成天气APP,远程偷拍偷录【附自查代码】

作者 dawei
2019年11月21日
安卓又爆漏洞!黑客可伪装成天气APP,远程偷拍偷录【附自查代码】

智东西(公众号:zhidxcom)
编 | 云鹏

智东西11月20日消息,Checkmarx公司发现谷歌和三星等公司的安卓智能手机存在安全漏洞,可以借此录制视频,拍照和捕获音频,然后在未经用户许可的情况下将内容上传到远程服务器。

三星表示已经发布相关修复程序,但没有明确时间,谷歌今年7月修复了Pixel系列手机的相关问题,但是其他厂商的安卓机型仍然存在这一安全隐患。以下是外媒对相关问题报道的原文编译。

一、获取存储许可即可拍照录音

安全公司Checkmarx研究人员今年年初发现了涉及安卓摄像头应用程序的严重缺陷。他们能够创建一个概念验证(proof-of-concept)应用程序,该应用程序看起来像一个天气应用程序,只要求获得访问安卓设备存储的许可。

通常安卓手机都会防止未经用户许可的应用程序访问智能手机上的摄像头和麦克风,所以会有权限授予的过程。但是这却恰恰成为了漏洞所在。

Checkmarx创建的这个概念验证应用程序可以在未经用户明确许可的情况下使用摄像头和麦克风捕获视频和音频,它所需要做的就是获得访问设备存储的权限,这通常是大多数应用程序都需要的权限,因此很容易就被忽略了。

利用这个漏洞,研究人员说他们可以无声地拍照、录视频、录音频、检查手机是否朝下,记录通话以及通过照片中包含的GPS数据访问设备的位置,即使关闭手机屏幕或关闭应用程序,这些操作仍然可以实现。

它能够在隐身模式下运行,消除相机的快门声,并且还可以记录双向电话对话。尽管这个漏洞目前没有被滥用的消息,但目前研究人员能够将他们记录的所有内容上传到远程服务器。

二、Pixel系列以外安卓机型仍存在风险

安卓又爆漏洞!黑客可伪装成天气APP,远程偷拍偷录【附自查代码】

谷歌告诉Fast Company,早在7月,它就解决了“受影响的谷歌设备”,也就是Pixel手机的问题。三星表示,“我们已经发布了修补程序,以解决这个可能会影响三星所有设备型号的漏洞”,但三星没有透露何时发布了这一修复程序。

谷歌在声明中表示“其补丁也已提供给所有合作伙伴”,但它没有透露其他制造商的任何安卓设备目前是否仍然会受到影响,也就是Pixel以外的安卓手机。不幸的是,根据Checkmarx的说法,某些设备可能仍然存在问题,

目前该问题仅限于安卓手机,苹果的iOS设备不会受到影响。

三、目前已发布检测代码

Checkmarx推测应用程序无需用户许可即可访问相机,可能与谷歌决定将相机与谷歌 Assistant配合使用的决定有关,其他制造商也可能已经实现了该功能。

外媒arstechnica目前公布了检测这一漏洞的代码。

1、命令将强制手机拍摄视频:

$ adb shell am start-activity -n
com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez
extra_turn_screen_on true -a android.media.action.VIDEO_CAMERA –ez
android.intent.extra.USE_FRONT_CAMERA true

2、以下命令将强制手机拍照:

$ adb shell am start-activity -n
com.google.android.GoogleCamera/com.android.camera.CameraActivity –ez
extra_turn_screen_on true -a android.media.action.STILL_IMAGE_CAMERA –
-ez android.intent.extra.USE_FRONT_CAMERA true –ei
android.intent.extra.TIMER_DURATION_SECONDS 3

这种攻击类型不太可能针对绝大多数安卓用户使用。尽管如此,根据将恶意应用程序植入Google Play商店的难易程度来看,实现这种目标对于一个执着且经验丰富的黑客而言,并不难。

结语:隐私保护问题是智能手机重要关注点

随着当下智能手机的快速发展,手机的品类和功能都极大丰富。各种各样的应用程序(app)充斥着手机屏幕,给用户带来极大便利的同时,也带来了潜在的隐私风险。

许多功能都是基于用户数据作为“原料”来运作的,因此就需要有获取数据的权限,目前用户授权已经做的比较成熟,授权的类别也已经非常细致,但是上文中的漏洞正是通过伪造了权限展现形式,欺骗用户从而得到授权。

当下,用户面对这种漏洞还是相对无力的,所以各大手机厂商,尤其是系统提供商,应当将用户数据隐私保护放在首要位置,尽快解决这一问题。离开了基本的数据安全,智能也无从谈起。

原文来自:Fastcompany,macrumors,arstechnica

标签:

又爆可伪安卓漏洞装成黑客
作者

dawei

【声明】:第七手机网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

关注我
其他文章
上一个

高通:2020年5G手机大爆发,将超1.75亿台,IoT市场潜力巨大

下一个

天猫精灵与小度音箱的中场战事

广告

最新文章

  • S24+焕新秘籍:秒变高阶美学视界 2026年7月11日
  • S24+定制秘籍:解锁三星高阶美学 2026年7月11日
  • Galaxy Z Flip7 SE:折叠潮玩,定义手机美学新风尚 2026年7月11日
  • A56 5G个性定制,潮机由你定义 2026年7月11日
  • Galaxy Z Flip7:折叠时尚,尽在掌中 2026年7月11日

广告

云标签

5G Galaxy iPhone iQOO OPPO Pro Realme Redmi vivo 一加 三星 中国 京东 人工智能 体验 全球 区块 华为 发布 小米 微软 怎么 性能 手机 技术 数智网 新机 旗舰 智能 智能家居 曝光 机器人 正式 游戏 科技 系列 美国 芯片 苹果 荣耀 谷歌 运营商 骁龙 高通 魅族

广告

友情链接:155手机网 151手机网 185手机网

第七手机网

大型手机资讯类网站! https://www.7shouji.com

Copyright 2026 — 第七手机网. All rights reserved.