攝像頭體驗是當今手機上最重要的功能之一,所有智能手機供應商都在競相爭奪世界上最好的移動攝像頭。谷歌和三星是這場比賽的兩個主要競爭者,但是事實證明,Pixel和Galaxy手機存在嚴重的安全問題,這可能使黑客可以在用戶不知情的情況下訪問設備上的所有照片和視頻。此外,黑客可以實時激活攝像機以提取信息,例如用戶的位置,或記錄語音呼叫。谷歌解釋說,其安全性比谷歌和三星手機要廣泛得多。雖然發佈了Google Camera補丁來緩解該問題,但尚不清楚發現的漏洞是否可用於定位其他
Android設備。
在CheckMarx上的博客文章中,安全研究人員解釋了他們如何能夠繞過Android手機上的限制並訪問不應向任何人提供的信息。
黑客使用與自己的命令和控制中心連接的惡意Android應用程序來演示該漏洞並從目標手機中提取數據。要正常工作,黑客需要用戶首先安裝一個惡意應用,該惡意應用可以訪問設備中的所有照片和視頻。
通過僅請求存儲許可,流氓應用程序將能夠訪問microSD卡上的所有用戶內容,而照片和視頻將位於某些手機上。如果在相機應用中啟用了該功能,則可以輕鬆地從圖像中提取GPS數據。
此外,研究人員還演示了一種攻擊,通過查看電話的接近傳感器活動,可以檢測到呼叫,然後開始錄製視頻,其中可能包含對話雙方的音頻。
收到通知後,谷歌表示這些漏洞並非特定於Pixel產品,其影響“更大,並擴展到了更廣泛的Android生態系統中。”三星還承認了這些問題。
Google相機應用程序在7月收到Google通知後進行了修補,並且該修補程序對所有合作伙伴都可用。根據CheckMarx的活動時間表,已就此問題與多家智能手機供應商聯繫。三星自行證實了這一發現。
然而,研究人員無法說的是,是否還有其他人過去曾經同樣濫用Android來監視某些人。更不用說假設黑客實際上試圖重新創建這種特定的攻擊,那裡可能有數百萬臺設備處於危險之中。
