Android相機App爆資安漏洞 偷拍錄影+錄製通話內容

科技 16:35 2019/11/21

分享:

資安公司發現Android系統爆相機漏洞,能讓惡意應用程式在未經用戶允許的情況下,透過手機的相機和麥克風偷拍照片或錄影,並將檔案上傳到遠端的伺服器。

日前,有資安公司發現Android系統爆相機漏洞,能讓惡意應用程式在未經用戶允許的情況下,透過手機的相機和麥克風偷拍照片或錄影,並將檔案上傳到遠端的伺服器。是次漏洞影響範圍相當廣泛,而當中受威脅的用戶包括Google、Samsung 及其他Android手機。

據資安公司Checkmarx的一份最新報告顯示,Android系統有一項漏洞,惡意App無需取得使用者明確授權許可,只需獲得存取儲存空間權限的情況下,就額外獲得使用相機和麥克風的權限。如果手機上的惡意程式獲得儲存權限,不只能取得過去所拍攝的照片和影片,也能自動拍攝新的照片和影片。由於照片通常也附帶GPS定位數據,因此惡意程式能透過自動拍照來取得當下裝置所在的位置。

為了驗證漏洞的實際運作情況,Checkmarx製作一個偽裝的天氣應用程式,嘗試在鎖定手機屏幕或關閉程式時測試。結果發現,漏洞可以令應用程式持續收集大量資料,甚至消除快門聲音以拍攝照片、錄製短片、取得手機的定位資訊,監聽及錄製電話內容,也能進入用戶的照片資料夾,將用戶的資料上傳到遠端伺服器。

科技網站9to5Google報道指,CheckMarx已於今年7月向Google的Android安全團隊提交了漏洞報告,而Google與Samsung在接獲漏洞回報後已修復相關漏洞。而Google則回應表示「很感謝 Checkmarx 讓我們注意到漏洞,並已向其他Android合作夥伴披露相關消息」。Google表示,早於2019年7月透過Google Play對Google Camera Application的軟件更新修復此項漏洞,建議用戶盡快升級到最新版的Android安全更新。

責任編輯:施雯雯

緊貼財經時事新聞分析,讚好hket Facebook 專版