數百萬 Android 裝置的「相機」應用程式具有漏洞,可能會導致允許其他應用程式在沒有權限的狀況下拍攝照片、影片及讀取所在位置。
一般狀況下應用程式需要得到用戶授予權限才能使用手機上的各種功能,或讀取特定資料,但這個漏洞讓應用程式可以突破限制。資訊安全軟體 Checkmarx 與 Google 和三星(Samsung)合作中揭露了這個漏洞,這個名為 CVE-2019-2234 的安全漏洞會讓應用程式在沒有用戶許可下拍攝照片、影片和讀取裝置位置。漏洞目前已確認會影響 Google「相機」App 和三星「相機」App,不過已經在 2019 年 7 月更新中修復,但未更新的裝置漏洞還是會存在。
Checkmarx 研究人員分析了 Google Pixel 的「相機」App 之後,發現 App 會讓其他具有儲存權限的 App 不需要取得相機的權限就能使用拍照鏡頭。如果智慧型手機上有惡意程式獲得儲存權限,不只能取得過去拍攝的照片和影片,也能自動拍攝新的照片和影片。由於照片通常也附帶有 GPS 數據,因此惡意程式能透過自動拍照來取得當下裝置所在的位置。
這是一個嚴重的漏洞,因為有許多 App 都會取得儲存權限,包括遊戲、串流服務甚至連天氣預報都會請求儲存權限。Checkmarx 的報告指出,就他們的觀察中儲存權限是應用程式最常請求的權限。一旦駭客運用這個漏洞,即使手機在上鎖狀態照樣能偷拍照和錄影,甚至主動將相機快門靜音,讓受害用戶不會發現手機正在自動拍照。
Checkmarx 在 7 月 4 日向 Google 告知這個漏洞,8 月 1 日 Google 也證實了研究人員的疑慮,8 月下旬確定三星的「相機」App 也受到了影響,兩家廠商都批准公開這個漏洞。根據 Google 的說法,「相機」App 的漏洞已經在 2019 年 7 月利用 Google Play 應用程式商店的更新修補,也向其他 Android 系統的手機品牌提供了修補的更新程式。
如果還沒更新到最新版本的 Android 裝置用戶建議盡速更新,確保不會遭到駭客惡意使用漏洞攻擊。
Android Camera App Bug Lets Apps Record Video Without Permission
Google & Samsung fix Android spying flaw. Other makers may still be vulnerable
(首圖來源:pixabay)
