安卓通讯录管理软件_安卓又曝严重漏洞,或监控数亿用户,请尽快更新系统补丁!...
?Checkmarx 對安卓漏洞的披露與講解
繼 iOS 版 Facebook 曝出重大漏洞,出現讓 App 能在后臺調用相機的情況后(目前該漏洞已經修復),Android 陣營也出現類似情況。
安卓系統的相機 App 近期被曝出一個新漏洞,這個漏洞導致其它 App 在沒有獲得必要權限的情況下可以拍攝視頻、照片并從儲存器中提取 GPS 數據。
漏洞的影響與原因?
一般而言,一款應用想要錄制視頻、拍攝照片或者獲取設備位置,必須獲得以下權限:相機使用權限、視頻錄制權限、獲取精確位置權限以及獲取粗略位置權限。
但據 Checkmarx 的研究人員近期披露的一個新漏洞,谷歌和三星即使其它 App 沒有獲得谷歌 App 的權限,它們也一樣可以拍照、錄制視頻或者獲取設備位置,并且可以訪問設備上 SD 卡的全部內容。
“不僅如此,GPS 的元數據通常會嵌入到照片中,攻擊者可以利用這一點通過對拍攝照片或視頻的 EXIF 數據稍加解析,便可以獲取用戶的定位。”
也許一些App還沒有對照片或視頻訪問產生興趣,但不可否認的是,大量的App都合理合法的范圍內申請存儲權限,而這是目前最普遍的被申請權限之一。”
這一漏洞被命名為 CVE-2019-2234,僅僅考慮到 Google 和三星手機的覆蓋范圍,這些漏洞可能會對數億用戶產生影響,甚至是威脅。
為了進行測試,Checkmarx 的研究人員創建了一款偽裝成天氣類應用程序的概念 App,測試中,該 App 竟然可以將照片、視頻和電話錄音悄無聲息的發送回研究人員控制下的服務器。
最終檢測確認,該漏洞可以允許沒有應用權限的 App 執行以下操作:
1. 在手機鎖定或屏幕關閉的情況下拍攝照片并錄制視頻;
2. 通過儲存器中的照片獲取 GPS 位置數據;
3. 在拍照和錄制視頻時,監聽雙向對話;
4. 將相機快門靜音,讓受害者在拍照時聽不到聲音;
5. 傳輸存儲在 SD 卡中的歷史視頻和照片。
回應《Ars Technica》網站的信件中, Checkmarx 并沒有明確指出有哪些應用程式可以在沒有獲得使用者明確授權的情況下,就取得相機、麥克風的使用權限。
Checkmarx 方面僅推測,該漏洞可能是因為 Google 讓 Google 助理(Google Assistant)可以與相機連動工作有關。
谷歌回應已提供補丁
近日谷歌和三星聯合發布了這一信息,以確保兩家公司都已發布漏洞補丁。
然而,漏洞信息剛被披露時,谷歌最初僅將漏洞的嚴重程度設置為中等,直到在Checkmarx 進一步反饋之后,嚴重程度才被調為「高」。
在媒體聯系谷歌后,一位發言人表示:“我們很感謝 Checkmarx 提醒我們注意到這一漏洞,并與谷歌和 Android 的合作伙伴合作,協調信息披露。通過 Google Play 商店發布的 Google Camera 應用程序的更新,受影響的谷歌手機已經解決了該問題。我們也已經向所有合作伙伴提供了該補丁。”
但谷歌在聲明中只表示「其補丁已提供給所有合作伙伴」,但它沒有透露其他制造商的任何安卓設備目前是否仍然會受到影響,也就是 Pixel 以外的安卓手機。
其他手機仍有安全隱患
針對所發現的 Android 相機漏洞, Checkmarx 引述 Google 方面的說法是,其他 Android 手機的相機 App 也可能受到攻擊,但是并沒有明確指明受影響的 Android 手機品牌以及手機型號。
因此,除了 Google 以及三星手機使用者外,其余品牌手機的使用者,使用手機時可以多多留心是否有意外的網路流量消耗,或是莫名耗電的情況,有可能其中一個原因就是有惡意程式在背景偷偷運作。
建議不要從非官方(Google Play Store)的渠道下載應用程序(APK),并且建議所有用戶將安卓系統升級到最新版本,以確保你的設備上使用的是最新的相機 App。
對于普通用戶,手機信息安全真的重要嗎?
對普通人來說,信息安全這種個東西,擁有的時候并不重要,失去的時候才知道很重要。通過我們的手機系統,無良應用不僅能獲得手機序列號、地理位置、手機容量這類不算特別隱私的數據,應用采集數據后一般會進行合理的用戶畫像分析和用戶標簽整理,root 過的安卓系統,用戶安裝了哪些應用、通訊錄名單、通話記錄等極為隱私的數據都有可能被后臺采集并違規使用或在黑市販賣。單說我們的個人財產信息,你總不想一覺醒來,自己支付寶的錢都不翼而飛吧?還有就是,我們每個人都是「群體」中的一份子、大數據海洋中的一朵浪。對于很多公司來說,他們之所以要收集你的信息,可能并不是為了你這攤水,而是為了整片海洋。最后,還是要很遺憾的告訴大家,現在幾乎所有的系統都不安全,無論是否聯網,無論安全級別有多高。但如果能稍加注意,還是可以降低風險(歡迎在留言區提供更多安全注意事項):iOS
1. 盡可能不要越獄(現在越獄的意義已經不大了);2. 越獄后也請務必更改 root 密碼,最好是在終端或者是可靠的 root 權限管理軟件里修改;3. 盡量使用 PIN +?指紋,一定要記得保護好 Apple ID 賬戶,最好是建立兩個 Apple ID 互為密碼找回手段&使用不同的復雜密碼。Android
1. 盡可能不要 root;2. root 后要注意妥善管理 root 權限;
3. 不要安裝任何來歷不明的軟件,盡量從官方渠道下載安裝包;
4. 如無必要,不要開啟開發者模式;
最后一點任何貪小便宜的行為都可能會吃大虧-? END -
總結
以上是生活随笔為你收集整理的安卓通讯录管理软件_安卓又曝严重漏洞,或监控数亿用户,请尽快更新系统补丁!...的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: bilibili有电脑版吗_你体验过电脑
- 下一篇: 基于uml的系统分析的网上商城_UML建