在谷歌、三星和其他原始设备制造商的相机应用中发现了一个新的bug。他们可以用手机的摄像头偷偷监控车主。为了成功劫持,所有恶意应用程序必须被授予数据存储权限。
最近,谷歌一直致力于通过其应用程序的隐私来保护用户数据的安全。该公司采用了更细粒度的权限系统,只在适当的时候要求和授予对某些硬件功能的访问权限。不幸的是,Checkmarx去年7月报告的一个错误可以通过使用一个看似合法的非相机应用程序来规避。
该应用程序对用户和谷歌的自动反恶意软件系统无害,甚至可能不需要访问数据存储,可能会保存设置或文件。然而,这个错误将允许照相机应用程序被劫持。相机应用程序还使用存储权限来保存照片和视频。它可以远程静默控制相机应用程序拍照或录制视频,甚至可以使用相机应用程序的GPS访问来获取手机的位置。
Checkmarx的研究人员发现了该漏洞,并在周二的分析中表示:“不幸的是,存储权限非常广泛,这些权限可以访问整个SD卡。有大量有合法用例的应用程序请求访问商店,但他们对照片或视频不是特别感兴趣。事实上,这是观察到的最常见的请求权限之一。
虽然其他OEM相机应用程序也可能受到影响,但该漏洞已被命名为影响谷歌和三星的相机应用程序。根据披露规则,安全研究小组在7月向谷歌通报了该漏洞,三星在今年8月确认了该漏洞。虽然谷歌表示该公司已经解决了这个问题,但三星尚未发表声明。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 puzdycom@126.com 举报,一经查实,本站将立刻删除。
