安全公司Checkmarx发现谷歌和三星等公司的Android智能手机存在一个安全漏洞。黑客可以利用这个漏洞让恶意应用不需要用户许可就可以录制视频,拍照,并且通过程序将内容传到远程服务器上。
Android本应阻止应用在未经许可的情况下访问智能手机的摄像头和麦克风,但是这个漏洞可以让应用只需要获得访问设备存储空间的权限,即可使用摄像头和麦克风来捕获视频和音频。
获得访问设备空间的权限是大部分应用要求获得的普通权限,一般情况下,大家因惯性使然都会不加深思的允许。
Checkmarx公司专门进行了测试发现,即使是在手机屏幕和应用处于关闭的状态,依旧不妨碍应用去录制视屏和拍照。
而且该应用还可以消除相机快门的声音,在手机中隐形运行。
有人要问了,安卓系统不会这么弱智吧,一点反应都没有?
其实是有的,当应用对手机攻击时,智能手机的屏幕会在录制视频和拍照时显示摄像头给用户进行提醒,好让用户知道发生了什么。
但是这个应用可以访问手机的近距离传感器,近距离传感器的作用是当感应到有大面积物体接近手机屏幕时,自动进入黑屏,是触屏等功能暂时失效。
因此就可以利用这个漏洞在智能手机显示屏看不见或者朝下时秘密进行攻击。(所以在打电话时应用就可以巧妙的对电话进行录音而不被察觉了)
谷歌的说法是感谢Checkmarx让他们注意到这个漏洞,并且已经在受影响的谷歌设备上进行解决,而且向所有的合作伙伴提供了补丁。三星也紧跟着表示发布了补丁以及对这个问题的重视。
但是谷歌表示其他厂商的Android手机也可能受到攻击,但考虑用户之多,造成影响之大,并未披露具体的制造商和手机型号。
薇薇再次看手上的安卓手机,觉得好像不那么亲切了呢?虽然报道表示这个漏洞有可能会让高价值目标的周边环境被智能手机非法记录。但是信息安全这个东西失去的时候才觉得重要。
所以提醒安卓党们几个点,稍加注意降低风险:
首先尽可能不要root,或者妥善管理root权限,其次不要安装来历不明的软件,从官方下载安装包。最后尽量不要开启开发者模式。