安卓被曝嚴重漏洞:不經過你同意APP能隨意訪問相冊
安卓被曝嚴重漏洞:不經過你同意APP能隨意訪問相冊
安卓操作系統目前是世界最主流的手機操作系統之一,可以說基本上至少有一半的手機都是安卓系統,可是,就是這樣一個使用人數衆多的系統,安卓系統被曝嚴重漏洞,該漏洞顯示,可以不經過你同意,APP就能隨意訪問你手機裏的相冊。
安卓手機
安卓被曝嚴重漏洞
安卓系統的相機App中出現了一個新的漏洞,至少有數百萬檯安卓設備受到影響,這個漏洞導致其它App在沒有獲得必要權限的情況下可以拍攝視頻、照片並從儲存器中提取GPS數據。
安卓的App通常會開放照相等多項功能以供同一設備上的其它App使用,但是爲了使用這些功能,其它App必須預先獲得相應的權限。
針對谷歌和三星,Checkmarx的研究人員在今天披露了一個新的漏洞,即使其它App沒有獲得谷歌App的權限,它們也一樣可以拍照、錄製視頻或者獲取設備位置。
這一漏洞被命名爲CVE-2019-2234,據稱,如果該問題在2019年7月之前未被解決,將會影響到谷歌相機和三星相機的正常使用。
“監控”
繞過拍照和錄製視頻的權限申請
經過對谷歌Pixel的相機App的分析,Checkmarx研究人員發現許多權限結合在一起便可以操縱設備的相機,進而拍攝照片或錄製視頻。
一般而言,一款應用想要錄製視頻、拍攝照片或者獲取設備位置,必須獲得以下權限:安卓相機使用權限、安卓視錄製權限、獲取精確位置權限以及獲取粗略位置權限。
Checkmarx的研究人員發現具有“存儲”權限的App竟然可以訪問設備上SD卡的全部內容,同時該APP無需獲得以上權限就可以使用相機App的所有開放功能。
“安卓智能手機上惡意運行的App可以讀取SD卡,該App不僅可以訪問已有的照片和視頻,而且可以利用這種新的攻擊方法定向啓動相機,從而拍攝照片或錄製視頻。
不僅如此,GPS的元數據通常會嵌入到照片中,攻擊者可以利用這一點通過對拍攝照片或視頻的EXIF數據稍加解析,便可以獲取用戶的定位。”
這顯然是一個嚴重的問題,因爲賽車遊戲、流媒體服務甚至是天氣預報等多種App會定期申請存儲權限。
“也許一些App還沒有對照片或視頻訪問產生興趣,但不可否認的是,大量的App都合理合法的範圍內申請存儲權限,而這是目前最普遍的被申請權限之一。”
-
婺源2022春季賞花高峯交通管制到5月 每天6時至22時
進入三月之後,江西婺源便迎來了賞花高峯期,尤其是週末的時候,來旅遊賞花的人更是絡繹不絕,這便給交通出行帶來較大壓力。爲了大家出行安全,以及交通順暢,相關部門將在婺源2022春季賞花高峯實行交通管制,管制要持續到5月10日,每天6時至22時。一起來了解具體情況。婺源20...
-
肝癌的症狀常被誤以爲是太累 出現這些症狀時或已到中晚期
今日是全國愛肝日,讓我們一起來了解肝臟健康的知識吧。肝臟養護要從我們日常生活的方方面面着手,並不是說吃一些補肝護肝的食物就能起到養護目的,要知道,肝癌的症狀常被誤以爲是太累,而當出現以下這些症狀時或已到中晚期。下面我們一來了解。肝癌的症狀常被誤以爲是...
-
廣東今明多雲爲主 深圳晴好晝夜相差10℃
據最新預報顯示,廣東今明多雲爲主,不過,從明天開始,雲量會增多,到了後天,部分地區會出現弱降雨。此外,早晚霧仍比較頻繁,包括廣州在內,近期多地早晚將有霧侵擾,大家注意防範。城市方面,今深圳晴好,晝夜相差10℃!謹防感冒。廣東今明多雲爲主廣東天氣昨天(9日),廣東大部以晴間多...
-
湯加火山噴發將約四百萬噸水蒸氣送入太空 科學家:從未見過這樣的事情
大家還記得今年1月中旬湯加火山噴發的場景嗎?如果你看過當時噴發的視頻,應該會比較難忘,場面還是比較震撼的。而據最新研究發現,當時的火山噴發將約四百萬噸水蒸氣送入太空!對這一現象,有科學家表示:從未見過這樣的事情。湯加火山噴發將約四百萬噸水蒸氣送入太空火山...