▲Android爆相機漏洞,能讓攻擊者能利用惡意App控制使用者的相機App,並進一部取得用使用者位置資訊。(圖/取自免費圖庫Pixabay)
記者王曉敏/綜合外電報導
Android系統遭爆漏洞!能讓惡意應用程式在未經允許的情況下,開始手機的相機及麥克風進行拍照或錄影,並將其上傳至遠端伺服器。這項漏洞目前已在部分設備上更新修復。
資安公司CheckMarx昨(19)日發布報告,為進一步了解智慧型手機相機讓用戶面臨怎樣的隱私風險,該公司安全研究團隊針對濫用手機鏡頭的應用程式進行深入了解,最終發現了多個「權限繞過漏洞」。
該漏洞使攻擊者能利用惡意App控制使用者的相機App,在未經使用者同意的情況下開啟攝錄影,更有可能規避各種儲存權限策略,讓攻擊者能存取使用者的影片、照片及照片所附帶的GPS定位數據,透過這些資訊進一步知曉使用者位置。
此漏洞不僅存在於Google的相機應用程式中,CheckMarx也在三星的相機App發現同樣的漏洞。研究人員也發現,即便手機正處於鎖定或螢幕關閉的狀態,惡意人士仍可利用這些惡意App強制開啟相機App拍照、錄影,即便使用者手機正處於語音通話中,仍可執行相同操作。
CheckMarx已於今年7月向Google的Android安全團隊提交了漏洞報告,而Google與三星在接獲漏洞回報後已修復相關漏洞。Google表示,已透過Google Play商店發布Google相機App的更新,其他合作夥伴也可透過此方法更新相機App。
|
|
