在谷歌、三星和其他原始設(shè)備制造商的相機(jī)應(yīng)用程序中發(fā)現(xiàn)了一個新的錯誤。他們可以用手機(jī)的攝像頭偷偷監(jiān)控車主。為了成功實(shí)施劫持，必須向所有惡意應(yīng)用程序授予數(shù)據(jù)存儲權(quán)限。

谷歌最近一直致力于通過應(yīng)用程序的隱私保護(hù)用戶數(shù)據(jù)的安全，公司采用了更細(xì)粒度的權(quán)限系統(tǒng)，只在適當(dāng)?shù)臅r候要求并授予某些硬件功能的訪問權(quán)限。不幸的是，Checkmarx在去年7月報告的一個錯誤可以通過使用看似合法的非相機(jī)應(yīng)用程序來規(guī)避。

該應(yīng)用程序?qū)τ脩艉凸雀璧淖詣臃磹阂廛浖到y(tǒng)無害，甚至可能不需要訪問數(shù)據(jù)存儲的權(quán)限，并且可能保存設(shè)置或文件。但是，這個錯誤會允許劫持相機(jī)應(yīng)用程序，相機(jī)應(yīng)用程序也使用存儲權(quán)限保存照片和視頻，可以遠(yuǎn)程無聲地控制相機(jī)應(yīng)用程序拍攝照片或錄制視頻，甚至可以使用相機(jī)應(yīng)用程序的GPS訪問來獲取手機(jī)的位置。

Checkmarx研究人員發(fā)現(xiàn)了該漏洞，并在周二的分析中表示：“不幸的是，存儲權(quán)限非常廣泛，這些權(quán)限可以訪問整個SD卡。有大量具有合法用例的應(yīng)用程序請求訪問該商店，但它們對照片或視頻并不特別感興趣。事實(shí)上，這是觀察到的最常見的請求權(quán)限之一。”

雖然其他OEM相機(jī)應(yīng)用程序也可能受到影響，但該漏洞已被命名為影響谷歌和三星的相機(jī)應(yīng)用程序。按照披露規(guī)則，安全研究團(tuán)隊在7月份向谷歌通報了該漏洞，三星在今年8月份確認(rèn)了該漏洞。雖然谷歌表示公司已經(jīng)解決了問題，但三星尚未發(fā)表聲明。

　　免責(zé)聲明：本文由用戶上傳，與本網(wǎng)站立場無關(guān)。財經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險自擔(dān)。 如有侵權(quán)請聯(lián)系刪除！