安卓系統(tǒng)的開源設(shè)計，讓其成為了“盛產(chǎn)”漏洞的圣地。

據(jù)外媒GSMArena 11 月 20 日 報道，安全研究人員找到了一種通過訪問手機存儲空間就可以繞過Android權(quán)限的方法。

也就是說，通過這個漏洞，攻擊者就可以控制用戶手機中的應(yīng)用程序，在不需要獲取用戶同意的情況下就可以拍攝照片或錄制視頻。

這樣看來，活像身邊潛伏了一個內(nèi)鬼，隨時隨地把自己主演的不能言說的照片或者學習小視頻傳回給手機背后的“眼睛”。

也許，有一天不小心逛論壇，發(fā)現(xiàn)熱點視頻主角竟然是自己，或者，突然有一天郵箱收到神秘來客的“要錢通知”，不給錢就把照片或者視頻發(fā)給所有手機聯(lián)系人。

想想都“闊怕”。更可怕的是這個漏洞早在今年7月就已經(jīng)發(fā)現(xiàn)了該漏洞，隨后谷歌證實了漏洞的存在，并將其命名為CVE-2019-2234。但直至11月，這個漏洞才終于被解決。

那么，這個漏洞是如何黑你的隱私的？

通常，Android相機通常會將照片、視頻存放在SD卡上，因為照片和視頻涉及到用戶隱私，所以一般情況下，訪問SD卡需要特殊權(quán)限——存儲權(quán)限，而存儲權(quán)限非常廣泛，很多應(yīng)用程序都需要使用這個權(quán)限，有一些流氓應(yīng)用程序可以在沒有特定相機權(quán)限的情況下拍攝照片和視頻，甚至可以訪問手機用戶的GPS位置。

通過這種方式，黑客可以創(chuàng)建一個惡意應(yīng)用程序獲取儲訪問權(quán)限，并從那里獲取相機應(yīng)用程序的權(quán)限而無需用戶許可。

可怕的是，這種惡意APP不僅可以訪問用戶過去的照片和視頻，還可以隨意啟動相機拍攝新的照片和視頻。此外，由于GPS數(shù)據(jù)通常都嵌入到照片中中，因此黑客還可以通過拍攝照片或視頻解析EXIF數(shù)據(jù)來獲取用戶數(shù)據(jù)。

值得注意的是，Checkmarx研究人員還找到一種方法，即使手機被鎖定或屏幕被關(guān)閉，流氓應(yīng)用也可以強制相機應(yīng)用程序拍照和錄制視頻。

谷歌在聲明中表示“其補丁已提供給所有合作伙伴”，但它沒有透露其他制造商的任何安卓設(shè)備目前是否仍然會受到影響，也就是Pixel以外的安卓手機。不幸的是，根據(jù)Checkmarx的說法，某些設(shè)備可能仍然存在問題。

目前該問題僅限于安卓手機，蘋果的iOS設(shè)備不會受到影響。

如果說在你毫無察覺的時候，手機攝像頭就被開啟用來監(jiān)視你的生活，這可能就是現(xiàn)代的《楚門的世界》 了?，F(xiàn)在擺在我們面前的只有兩條路，一是及時更新系統(tǒng)，二是換個設(shè)備。

雷鋒網(wǎng)年度評選——尋找19大行業(yè)的最佳AI落地實踐

創(chuàng)立于2017年的「AI最佳掘金案例年度榜單」，是業(yè)內(nèi)首個人工智能商業(yè)案例評選活動。雷鋒網(wǎng)從商用維度出發(fā)，尋找人工智能在各個行業(yè)的最佳落地實踐。

第三屆評選已正式啟動，關(guān)注微信公眾號“雷鋒網(wǎng)”，回復關(guān)鍵詞“榜單”參與報名。詳情可咨詢微信號：xqxq_xq

參考來源：搜狐網(wǎng)；泡泡網(wǎng)；GSMArena 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。