安卓通讯录管理软件_安卓又曝严重漏洞,或监控数亿用户,请尽快更新系统补丁!...
Checkmarx 对安卓漏洞的披露与讲解
继 iOS 版 Facebook 曝出重大漏洞,出现让 App 能在后台调用相机的情况后(目前该漏洞已经修复),Android 阵营也出现类似情况。
安卓系统的相机 App 近期被曝出一个新漏洞,这个漏洞导致其它 App 在没有获得必要权限的情况下可以拍摄视频、照片并从储存器中提取 GPS 数据。
漏洞的影响与原因?
一般而言,一款应用想要录制视频、拍摄照片或者获取设备位置,必须获得以下权限:相机使用权限、视频录制权限、获取精确位置权限以及获取粗略位置权限。
但据 Checkmarx 的研究人员近期披露的一个新漏洞,谷歌和三星即使其它 App 没有获得谷歌 App 的权限,它们也一样可以拍照、录制视频或者获取设备位置,并且可以访问设备上 SD 卡的全部内容。
“不仅如此,GPS 的元数据通常会嵌入到照片中,攻击者可以利用这一点通过对拍摄照片或视频的 EXIF 数据稍加解析,便可以获取用户的定位。”
也许一些App还没有对照片或视频访问产生兴趣,但不可否认的是,大量的App都合理合法的范围内申请存储权限,而这是目前最普遍的被申请权限之一。”
这一漏洞被命名为 CVE-2019-2234,仅仅考虑到 Google 和三星手机的覆盖范围,这些漏洞可能会对数亿用户产生影响,甚至是威胁。
为了进行测试,Checkmarx 的研究人员创建了一款伪装成天气类应用程序的概念 App,测试中,该 App 竟然可以将照片、视频和电话录音悄无声息的发送回研究人员控制下的服务器。
最终检测确认,该漏洞可以允许没有应用权限的 App 执行以下操作:
1. 在手机锁定或屏幕关闭的情况下拍摄照片并录制视频;
2. 通过储存器中的照片获取 GPS 位置数据;
3. 在拍照和录制视频时,监听双向对话;
4. 将相机快门静音,让受害者在拍照时听不到声音;
5. 传输存储在 SD 卡中的历史视频和照片。
回应《Ars Technica》网站的信件中, Checkmarx 并没有明确指出有哪些应用程式可以在没有获得使用者明确授权的情况下,就取得相机、麦克风的使用权限。
Checkmarx 方面仅推测,该漏洞可能是因为 Google 让 Google 助理(Google Assistant)可以与相机连动工作有关。
谷歌回应已提供补丁
近日谷歌和三星联合发布了这一信息,以确保两家公司都已发布漏洞补丁。
然而,漏洞信息刚被披露时,谷歌最初仅将漏洞的严重程度设置为中等,直到在Checkmarx 进一步反馈之后,严重程度才被调为「高」。
在媒体联系谷歌后,一位发言人表示:“我们很感谢 Checkmarx 提醒我们注意到这一漏洞,并与谷歌和 Android 的合作伙伴合作,协调信息披露。通过 Google Play 商店发布的 Google Camera 应用程序的更新,受影响的谷歌手机已经解决了该问题。我们也已经向所有合作伙伴提供了该补丁。”
但谷歌在声明中只表示「其补丁已提供给所有合作伙伴」,但它没有透露其他制造商的任何安卓设备目前是否仍然会受到影响,也就是 Pixel 以外的安卓手机。
其他手机仍有安全隐患
针对所发现的 Android 相机漏洞, Checkmarx 引述 Google 方面的说法是,其他 Android 手机的相机 App 也可能受到攻击,但是并没有明确指明受影响的 Android 手机品牌以及手机型号。
因此,除了 Google 以及三星手机使用者外,其余品牌手机的使用者,使用手机时可以多多留心是否有意外的网路流量消耗,或是莫名耗电的情况,有可能其中一个原因就是有恶意程式在背景偷偷运作。
建议不要从非官方(Google Play Store)的渠道下载应用程序(APK),并且建议所有用户将安卓系统升级到最新版本,以确保你的设备上使用的是最新的相机 App。
对于普通用户,手机信息安全真的重要吗?
对普通人来说,信息安全这种个东西,拥有的时候并不重要,失去的时候才知道很重要。通过我们的手机系统,无良应用不仅能获得手机序列号、地理位置、手机容量这类不算特别隐私的数据,应用采集数据后一般会进行合理的用户画像分析和用户标签整理,root 过的安卓系统,用户安装了哪些应用、通讯录名单、通话记录等极为隐私的数据都有可能被后台采集并违规使用或在黑市贩卖。单说我们的个人财产信息,你总不想一觉醒来,自己支付宝的钱都不翼而飞吧?还有就是,我们每个人都是「群体」中的一份子、大数据海洋中的一朵浪。对于很多公司来说,他们之所以要收集你的信息,可能并不是为了你这摊水,而是为了整片海洋。最后,还是要很遗憾的告诉大家,现在几乎所有的系统都不安全,无论是否联网,无论安全级别有多高。但如果能稍加注意,还是可以降低风险(欢迎在留言区提供更多安全注意事项):
iOS
1. 尽可能不要越狱(现在越狱的意义已经不大了);2. 越狱后也请务必更改 root 密码,最好是在终端或者是可靠的 root 权限管理软件里修改;3. 尽量使用 PIN + 指纹,一定要记得保护好 Apple ID 账户,最好是建立两个 Apple ID 互为密码找回手段&使用不同的复杂密码。
Android
1. 尽可能不要 root;
2. root 后要注意妥善管理 root 权限;
3. 不要安装任何来历不明的软件,尽量从官方渠道下载安装包;
4. 如无必要,不要开启开发者模式;
最后一点任何贪小便宜的行为都可能会吃大亏
- END -
安卓通讯录管理软件_安卓又曝严重漏洞,或监控数亿用户,请尽快更新系统补丁!...相关推荐
- 安卓通讯录管理软件_安卓系统50个你不知道的使用窍门!每个都值得你去收藏!...
今天给大家介绍下安卓系统的安卓手机的使用技巧方法,以时下最为普遍最主流的Android 2.3系统为例,不过大部分使用技巧在其他版本的安卓系统上同样适用. 1.使用Android电源管理widget从 ...
- 安卓通讯录管理软件_细说|安卓系统50个你不知道的使用窍门!每个都值得你去收藏!...
世界那么大,谢谢你来看我!! 今天给大家介绍下安卓系统的安卓手机的使用技巧方法,以时下最为普遍最主流的Android 2.3系统为例,不过大部分使用技巧在其他版本的安卓系统上同样适用. 1.使用And ...
- 安卓手机管理软件_安卓苹果手机电池使用久了该不该换
怎么知道自己的手机/平板该不该换电池? 如果你的手机是正常的使用状态,一到两年你电池寿命应该还是不错的,不必急 于更换电池,可以过段时间再换也不迟. 如果手机使用在2年以上,就会出现一定程度的损耗,一 ...
- 安卓手机管理软件_日程管理软件哪个好?
无论是工作还是生活,都需要好好地进行日程安排规划,将自己的日程安排计划管理得井井有条,滋滋有味.尤其是临近过年,每天要忙碌的事情很多,如果有一款免费且好用的日程管理软件,来辅助我们的日常生活和工作,那 ...
- 安卓手机管理软件_留言帮忙找:手机清理软件合集 Android
几款小巧的手机清理软件[滑稽][玫瑰] 本次带来5个小巧实用的手机清理软件 你是否还在为清理垃圾而烦恼?经常为手机清理垃圾可以延长手机的使用时间哦! ①清理大师②power clear③强力清理④全能 ...
- 安卓手机主题软件_安卓手机赚钱软件
点击 蓝色 字体关注我们 如果你刚好没工作,请找我 每天更新海量兼职 如何你刚好有空余时间,请加我 每天为你推荐合适工作 如果你想挣点零花, 请@我 为你介绍海量兼职APP 如果你刚好符合上面描述,那 ...
- 安卓手机主题软件_安卓手机数据恢复软件——FonePaw Android Data Recovery Mac
手机数据意外丢失?想要一款安卓手机数据恢复软件?FonePaw Android Data Recovery for Mac推荐给大家!Android Data Recovery Mac版可以从Andr ...
- 安卓暗黑模式软件_安卓微信暗黑模式(深色模式)怎么开启?手机什么条件才支持?...
最近关于暗黑模式,我们看到了很多人都在找,也都在说怎么找到呀?如何才能找到呢?成了很多人的话题之一,接下来我们就针对这个问题来和大家讨论一下,让大家都知道什么条件才可以支持,从而能够告诉别人,在别人的 ...
- 安卓手机管理软件_手机文件管理真的很难吗?
希望星选 读完需要 3分钟 速读仅需1分钟 很多小伙伴吐槽没有好用的手机文件管理软件,今天给大家更新一期手机文件管理. 由于设备原因,这里只能给大家简单介绍安卓的文件管理,iOS的小伙伴拥有强大的iC ...
最新文章
- 单例模式的两种实现方式对比:DCL (double check idiom)双重检查 和 lazy initialization holder class(静态内部类)...
- 取代现有电商和实体店菜市场的新模式
- jquery单选框radio绑定click事件实现和是否选中的方法
- Problem H: tmk买礼物
- 【图文详解】IDEA控制台运行时出现乱码:淇℃伅...
- salt远程执行python脚本_SaltStack远程执行Windows job程序(黑窗口)填坑经过
- idea的jsp如何显示语法高亮_如何啃下Python学习中的三块硬骨头?
- 不少程序员都会碰到的三个面试题
- 呕心之作:支付宝的手机网站支付接口的应用
- 1月16日学习内容整理:爬虫框架:Scrapy
- linux的netperf测试,性能测试工具netperf安装使用
- javascript动态字母
- 数据结构(C语言)-数组
- 输出200以内所有素数(质数),5个一换行
- maven pom.lastupdated
- App Tamer for Mac
- 程序员VS产品经理的世纪之争
- oracle密码过期策略管理
- Web前端笔记-i标签做小图标以及改源码注意事项
- s5pv210 linux内核移植,S5PV210-kernel-从三星官方的内核开始移植
热门文章
- [云炬创业基础笔记]第五章创业机会评估测试1
- 用ConfigParser模块读写conf配置文件
- Java中恒等条件判断:“equals”和“==”
- SegNet 语义分割网络以及其变体 基于贝叶斯后验推断的 SegNet
- PIC单片机入门_PICC头文件介绍
- [转载]项目经理必备工具包:项目管理中的22个思维导图
- css中超级链接样式的设置顺序
- Delphi的对象机制浅探[转载]
- C++成员函数中的const修饰符
- 安装已停止,原因是 ProjectType 值的目录不存在。对于您所安装的 Visual St...