点击上方的终端研发部,右上角选择“设为星标

每日早10点半,技术文章准时送上

公众号后台回复“学习”,获取作者独家秘制精品资料

前言

近日,问题频发的安卓系统又被爆出系统存在重大漏洞。第三方软件无需授权即可调用摄像头权限并进行数据上传。
以色列安全公司Checkmarx于前几天曝出曾发现的安卓系统漏洞:恶意应用只要获得基本的存储访问,便可以绕过用户的许可,调用摄像头和麦克风拍照、录像、录音。所幸,谷歌和三星表示已经修复了漏洞。

Android本应阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风,但这个漏洞能让应用无需获得用户的明确许可,只需获得访问设备存储空间的权限,即可使用摄像头和麦克风来捕获视频和音频,而这通常是大多数应用要求获得的权限。

为了验证事情的真实性,Checkmarx制作了一个类似应用,表面上看起来像是个天气应用,但实际上在后台收集大量数据。测试发现,即使手机屏幕或应用处于关闭状态,这个应用也可以拍摄照片和录制视频,还可以访问照片中的位置数据,甚至是监听你的电话。

对于上述问题,谷歌表示:“我们很感谢Checkmarx让我们注意到这一点,并与谷歌和Android的合作伙伴协调披露了相关消息。这个问题已经在受影响的谷歌设备上得到解决,我们在2019年7月对谷歌相机应用进行了Play Store更新。我们还已向所有合作伙伴提供了一个补丁。”根据Checkmarx的说法,谷歌表示其他厂商的Android手机也可能受到攻击,但尚未披露具体的制造商和手机型号。

该漏洞影响了自今年 7 月以来还没更新过的谷歌相机和三星相机APP。在正常情况下,第三方应用程序需要获得访问摄像机、录制音频和访问位置数据的明确权限。但是研究人员发现,只需获得访问设备SD卡的权限,在没有授权的情况下,这些应用也可以获得使用摄像头和麦克风来捕获视频和音频权限。研究人员称,通过这种方式,黑客可以创建一个恶意应用程序获取储访问权限,并从那里获取相机应用程序的权限而无需用户许可。

研究人员称,这种恶意APP不仅可以访问用户过去的照片和视频,还可以随意启动相机拍摄新的照片和视频。此外,由于GPS数据通常都嵌入到照片中中,因此黑客还可以通过拍摄照片或视频解析EXIF数据来获取用户数据。目前,谷歌和三星表示相关的相机应用程序的漏洞已经修复。这里还是要提醒谷歌和三星用户要确保他们运行的不仅仅是最新版本的安卓系统,还有最新版本的安卓设备相机应用程序。
据以色列安全公司Checkmarx曝光,安卓系统存在一个CVE-2019-2234漏洞,该漏洞允许流氓APP远程获取摄像头、麦克风和GPS位置数据的输入。这一行为十分敏感,所以安卓开源项目特别设置了一组权限,要求任何APP都必须先向用户请求,获得批准才能调用。
Checkmarx创建了一个攻击场景,利用“存储访问”权限的漏洞,不仅可以调用存储在手机中的照片和视频数据,还获得了随时调用摄像头的权限。由于存储访问相对来说没那么敏感,大多数用户在授权方面并不在意。Checkmarx安全团队表示,这种漏洞主要利用谷歌相机APP,同时三星的相机应用也存在相同状况,因此这2大厂商最有可能受影响。他们称,这一漏洞会威胁“数以亿计”的用户。
数据安全并不是一个简单的事情,安全防线需要每一个环节进行守护。用户使用手机它需要手机终端硬件安全的、系统是安全的、手机里的应用是可靠的、用户连接的网络无风险,用户仍需要注意使用手机过程中的安全。这其实是属于对于用户而言最直观的两个环节:终端和应用。
手机对于数据的使用,是要以安全为前提的。对于数据和隐私,需要进行多重保护措施:
1、信息获取需要用户授权,只有在用户授权的情况下智能应用方可对用户的行为特征、兴趣爱好等隐私信息进行收集,并且所有隐私数据不对第三方开放;
2、所有用户隐私数据只在本地进行处理,不会上传到服务器;
3、用户隐私数据的保存、加密和解密皆在芯片内完成,操作系统无法接触密钥的加解密过程;
4、为了防止恶意入侵,智能系统应当有反制措施,一旦发现“机器学习”过程中存在异常,会拒绝执行用户隐私数据的解密功能,确保安全。

最后

所以平时使用的时候一定要多加留意应用授权,注意保护隐私,别用隐私换没必要的便利。在这里,强烈建议所有用户将安卓系统升级到最新版本,以确保你的设备上使用的是最新的相机App。
欢迎关注于哥的技术公众号 ,话痨技术,职场,招聘,在线面试,进阶提升。没有做不到的,只有想不到的。

apk优化的一些奇淫技巧

Go 和 Android 集成实战

100万条数据遍历,lambda会比for循环快吗

重磅!阿里内部偷师Android的开发规范文档

面试BAT大厂,可少不了这些题目!

重磅!Vue 3.0源代码公布后,究竟有哪些变更?

Python 之父 63 岁才退休,我 23 就中年危机。。

相信自己,没有做不到的,只有想不到的

在这里获得的不仅仅是技术!

喜欢就给个“在看

细思极恐!安卓被曝严重漏洞,你中招了没?相关推荐

  1. 手机外接usb摄像头软件下载_细思极恐,手机软件会偷偷打开摄像头?

    8月15日,某位大咖<ISC夜谈>上表示,有时有的软件会打开用户的摄像头,或打开麦克风录音.从中找一些关键词,来试图匹配用户第二天的兴趣爱好. 微博相关话题高居微博热议话题第二位,阅读数已 ...

  2. 细思极恐!只需54块钱,你也能让AI伪造一系列联合国发言

    安妮 发自 凹非寺 量子位 出品 | 公众号 QbitAI 联合国发言生成器了解一下? 最近,有研究人员真就搞出了一个.手握这个生成器,你就可以无限生成逼真的联合国演讲风格的内容. 快速传递假新闻.随 ...

  3. 细思极恐!未来百万人将下岗十大职业将消失

    细思极恐!未来百万人将下岗十大职业将消失 0 2015年12月2日,中国社会科学院副院长蔡昉.人口与劳动经济研究所所长张车伟主编的<中国人口与劳动问题报告No.16--"十二五&quo ...

  4. 细思极恐,你真的会写 Java 吗

    点击上方 好好学java ,选择 星标 公众号 重磅资讯.干货,第一时间送达 今日推荐:牛人 20000 字的 Spring Cloud 总结,太硬核了~ 非常非常不错的一篇文章,文中提到的很多实践都 ...

  5. 你真敢ZAO吗?解读换脸AI “细思极恐” 的用户协议

      新智元报道   编辑:张佳.小芹 [新智元导读]经过一个周末的发酵,一夜爆红的换脸APP"ZAO"已经被推到了舆论的风口浪尖,在娱乐的同时,涉及的技术问题.隐私问题.安全问题备 ...

  6. java+什么时候才需要deploy_细思极恐 - 什么才是真正的会写 Java ?

    文章核心 其实,本不想把标题写的那么恐怖,只是发现很多人干了几年java以后,都自认为是一个不错的java程序员了,可以拿着上万的工资都处宣扬自己了,写这篇文章的目的并不是嘲讽和我一样做java的同行 ...

  7. 佛祖保佑代码无bug图片_程序员都有哪些奇趣的代码注释,细思极恐

    在很多不熟悉程序员的群体中,可能都认为程序员是沉闷一次的代表,但其实不然,很多程序员都是非常幽默有趣且都有一颗非常闷骚的心.这尤其体现在他们呢好玩的代码注释上面,我找了一写奇趣的代码注释类型,小伙伴们 ...

  8. [转载] 细思极恐的星座分析(下)- 外太空?内子宫?人类的天赋从何而来?

    参考链接: 显示给定出生日期的星座或黄道十二宫的Python程序 在看完本文上半部分后,大家应该对星座与人类天赋之间的关系有了比较深刻的了解.在本文下半部分中,我将通过星座来猜测天赋的成因.与&quo ...

  9. 细思极恐!大数据和机器学习揭示十二星座的真实面目

    细思极恐!大数据和机器学习揭示十二星座的真实面目 "为什么我的论文总发表不了,是不是我天生就不是做研究的料?"很多同学在写论文中遇到挫折,经常会发出这样的疑问.那么今天我就用星座, ...

最新文章

  1. 大年30还多少天_2020余额不足30天!年初许下的愿望你实现了多少?
  2. 自学python还是报班-学习Python到底是培训还是自学合适呢?
  3. 特征工程(3):特征选择—信息增益
  4. 北哥大话Yii2缓存机制 - File缓存
  5. 增加mysql的最大连接数
  6. Jenkins 设置镜像_docker+jenkins自动化部署
  7. CSS 小结笔记之清除浮动
  8. 那些在家啃书自学算法的人,最后都找到工作了吗?
  9. ROSE User Case View
  10. UVALive4983 UVa1593 POJ3959 Alignment of Code【字符串流+输入输出】
  11. q超级会员都有什么鸿蒙,超级会员+豪华绿钻,超值四开!
  12. 谭浩强 C程序设计 8.2 求方程 的根,用三个函数分别求当b^2-4ac大于0、等于0、和小于0时的根,并输出结果。从主函数输入a、b、c的值。...
  13. android handler的机制和原理_Android基础(7)—异步消息处理机制 Handler
  14. 游戏IP手册:游戏IP的内涵元素
  15. html页面清空标签里的内容
  16. Keystore was tampered with, or password was incorrect
  17. 企业即时通讯系统十大排名
  18. 去了字节跳动,才知道年薪 40w 的 90 后 Android 开发者有这么多?
  19. matlab复数信号_信号之间的时延估计(续)
  20. java雀圣麻将游戏_《梦幻麻将馆9雀圣争霸》全攻略

热门文章

  1. C语言 计算摄氏温度
  2. 微信一定要关闭的6个设置
  3. 通过Waterdrop 进行hdfs导入ck测试踩坑
  4. 周鸿祎:真想不通是张小龙这样的人做出了微信!
  5. 微信流量主小程序源码万能工具箱+完整搭建教程
  6. python中两个变量的值互换
  7. uva - 1442(cav 递推类 ,思路)
  8. 2022-2027年中国政府投融资平台行业发展前景及投资战略咨询报告
  9. layu常用知识点笔记
  10. 连接无处不在——2016年中国国际信息通信展带你叩响未来世界的大门