新浪科技讯 北京时刻11月20日早间音讯,安全公司Checkmarx发现,谷歌和三星等公司的Android智能手机存在一个安全缝隙,让歹意运用无需用户答应就能录制视频、摄影相片和捕获音频,并将内容上传到长途服务器,这个缝隙有必定的概率会让高价值方针的周边环境被智能手机不合法记载。
Android本应阻挠运用在未经用户答应的情况下拜访智能手机摄像头和麦克风,但这个缝隙能让运用无需取得用户的清晰答应,只需取得拜访设备存储空间的权限,即可运用摄像头和麦克风来捕获视频和音频,而这通常是大多数运用要求取得的权限。
为了搞清楚这个缝隙是怎么运作的,Checkmarx开发了一个概念验证运用,表面上看起来像是个气候运用,但实际上在后台搜集很多数据。测验发现,即便手机屏幕或运用处于封闭状况,这个运用也能够摄影相片和录制视频,还能够拜访相片中的方位数据。该运用能在“隐形”形式下运转,消除相机快门的声响,还能够录制双向电话通话,并可将一切数据上传到长途服务器。
在测验人员运用这个缝隙进行进犯时,被进犯的智能手机的屏幕会在录制视频或摄影时显现摄像头,以便让受影响的用户知道发生了什么。这个缝隙能够在智能手机显现屏看不见或设备屏幕朝下时被隐秘运用,并且能够正常的运用一项功用,运用近距离传感器来确认智能手机何时屏幕朝下。
谷歌经过7月发布的摄像头更新处理了Pixel手机中的这个缝隙,三星也修正了该缝隙,但详细时刻还不清楚。谷歌对此表明:“咱们很感谢Checkmarx让咱们注意到这一点,并与谷歌和Android的协作伙伴和谐发表了相关音讯。这样的一个问题已经在受影响的谷歌设备上得到处理,咱们在2019年7月对谷歌相机运用进行了Play Store更新。咱们还已向一切协作伙伴供给了一个补丁。”
三星则表明:“自收到谷歌有关这样的一个问题的告诉以来,咱们已在随后发布补丁,以处理一切或许受影响三星设备的问题。咱们非常重视与Android团队的协作,这让咱们也能够直接辨认和处理这样的一个问题。”
依据Checkmarx的说法,谷歌表明其他厂商的Android手机也或许遭到进犯,但没有发表详细的制造商和手机类型。
因为这是个Android缝隙,因而苹果公司的iOS设备不会遭到该缝隙的影响。
现在还不清楚为什么运用能在未获用户答应的情况下拜访摄像头。Checkmarx估测,这或许与谷歌决议让摄像头与谷歌人工智能助理服务Google Assistant合作运转有关,而其他厂商或许也已启用这一功用。(唐风)
