安卓系統(tǒng)的開源設(shè)計(jì)，讓其成為了“盛產(chǎn)”漏洞的圣地。

據(jù)外媒GSMArena 11 月 20 日 報(bào)道，安全研究人員找到了一種通過(guò)訪問(wèn)手機(jī)存儲(chǔ)空間就可以繞過(guò)Android權(quán)限的方法。

也就是說(shuō)，通過(guò)這個(gè)漏洞，攻擊者就可以控制用戶手機(jī)中的應(yīng)用程序，在不需要獲取用戶同意的情況下就可以拍攝照片或錄制視頻。

這樣看來(lái)，活像身邊潛伏了一個(gè)內(nèi)鬼，隨時(shí)隨地把自己主演的不能言說(shuō)的照片或者學(xué)習(xí)小視頻傳回給手機(jī)背后的“眼睛”。

也許，有一天不小心逛論壇，發(fā)現(xiàn)熱點(diǎn)視頻主角竟然是自己，或者，突然有一天郵箱收到神秘來(lái)客的“要錢通知”，不給錢就把照片或者視頻發(fā)給所有手機(jī)聯(lián)系人。

想想都“闊怕”。更可怕的是這個(gè)漏洞早在今年7月就已經(jīng)發(fā)現(xiàn)了該漏洞，隨后谷歌證實(shí)了漏洞的存在，并將其命名為CVE-2019-2234。但直至11月，這個(gè)漏洞才終于被解決。

那么，這個(gè)漏洞是如何黑你的隱私的？

通常，Android相機(jī)通常會(huì)將照片、視頻存放在SD卡上，因?yàn)檎掌鸵曨l涉及到用戶隱私，所以一般情況下，訪問(wèn)SD卡需要特殊權(quán)限——存儲(chǔ)權(quán)限，而存儲(chǔ)權(quán)限非常廣泛，很多應(yīng)用程序都需要使用這個(gè)權(quán)限，有一些流氓應(yīng)用程序可以在沒(méi)有特定相機(jī)權(quán)限的情況下拍攝照片和視頻，甚至可以訪問(wèn)手機(jī)用戶的GPS位置。

通過(guò)這種方式，黑客可以創(chuàng)建一個(gè)惡意應(yīng)用程序獲取儲(chǔ)訪問(wèn)權(quán)限，并從那里獲取相機(jī)應(yīng)用程序的權(quán)限而無(wú)需用戶許可。

可怕的是，這種惡意APP不僅可以訪問(wèn)用戶過(guò)去的照片和視頻，還可以隨意啟動(dòng)相機(jī)拍攝新的照片和視頻。此外，由于GPS數(shù)據(jù)通常都嵌入到照片中中，因此黑客還可以通過(guò)拍攝照片或視頻解析EXIF數(shù)據(jù)來(lái)獲取用戶數(shù)據(jù)。

值得注意的是，Checkmarx研究人員還找到一種方法，即使手機(jī)被鎖定或屏幕被關(guān)閉，流氓應(yīng)用也可以強(qiáng)制相機(jī)應(yīng)用程序拍照和錄制視頻。

谷歌在聲明中表示“其補(bǔ)丁已提供給所有合作伙伴”，但它沒(méi)有透露其他制造商的任何安卓設(shè)備目前是否仍然會(huì)受到影響，也就是Pixel以外的安卓手機(jī)。不幸的是，根據(jù)Checkmarx的說(shuō)法，某些設(shè)備可能仍然存在問(wèn)題。

目前該問(wèn)題僅限于安卓手機(jī)，蘋果的iOS設(shè)備不會(huì)受到影響。

如果說(shuō)在你毫無(wú)察覺(jué)的時(shí)候，手機(jī)攝像頭就被開啟用來(lái)監(jiān)視你的生活，這可能就是現(xiàn)代的《楚門的世界》 了?，F(xiàn)在擺在我們面前的只有兩條路，一是及時(shí)更新系統(tǒng)，二是換個(gè)設(shè)備。

雷鋒網(wǎng)年度評(píng)選——尋找19大行業(yè)的最佳AI落地實(shí)踐

創(chuàng)立于2017年的「AI最佳掘金案例年度榜單」，是業(yè)內(nèi)首個(gè)人工智能商業(yè)案例評(píng)選活動(dòng)。雷鋒網(wǎng)從商用維度出發(fā)，尋找人工智能在各個(gè)行業(yè)的最佳落地實(shí)踐。

第三屆評(píng)選已正式啟動(dòng)，關(guān)注微信公眾號(hào)“雷鋒網(wǎng)”，回復(fù)關(guān)鍵詞“榜單”參與報(bào)名。詳情可咨詢微信號(hào)：xqxq_xq

參考來(lái)源：搜狐網(wǎng)；泡泡網(wǎng)；GSMArena 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。