今年早些时候,Apple 因其新的 Group FaceTime 功能中的一个错误而备受争议,该功能实际上允许任何人通过简单地拨打然后挂断一个秘密电话来监视 iPhone 或 iPad 用户。现在看来,Android 的世界里,有一些东西,或许更阴险,更不起眼。由于在谷歌、三星和其他 OEM 的相机应用程序中发现了一个错误,一个几乎不起眼的应用程序可以使用他们自己手机的相机秘密监视所有者。并且所有恶意应用程序需要被授予数据存储权限。
从 Android 6.0 Marshmallow 开始,Google 的移动平台采用了更细粒度的权限系统,仅根据具体情况请求和授予对某些硬件功能的访问权限。换句话说,没有业务访问相机或麦克风的应用程序将无法这样做,除非他们请求许可并且用户出于某种原因同意。不幸的是,Checkmarx去年 7 月报告的一个错误能够使用看起来像合法的非相机应用程序来规避该问题。
这样的应用程序看起来对用户和谷歌的自动反恶意软件系统都无害。该应用程序甚至可能不会要求访问数据存储之外的权限,也许是为了保存设置或文件。不幸的是,该漏洞将允许他们劫持相机应用程序,这些应用程序也使用存储权限来保存照片和视频,并且能够远程和静默地控制相机应用程序来拍照或录制视频,甚至使用相机应用程序的 GPS 访问来获取手机的位置。
该漏洞影响来自谷歌和三星的相机应用程序。其他 Android OEM 也可能受到影响,但只有这两个被命名。根据披露规则,安全研究小组于 7 月向谷歌通报了该漏洞,三星在 8 月承认了该漏洞。
谷歌在本月的安全更新中推出了一个修复程序,这应该已经推出到 Pixel 手机。他们是否能够到达受影响的设备,包括三星的设备,只有 OEM 才能回答。不幸的是,Android 多样化和支离破碎的生态系统使得这更难确定。
