首頁 > 安全研究 > 安全通報 > 安全通告

Android Camera Apps中的高危漏洞安全通告

發布時間 2019-11-22

漏洞編號和級別


CVE編號:CVE-2019-2234,危險級別:高危,CVSS分值:官方未評定


影響版本


Android Camera Apps


漏洞概述


Checkmarx 安全研究團隊的研究人員表示,任何應用程序在不具備具體權限的情況下均可控制谷歌的安卓攝像頭 app 并進行多項活動,包括錄制視頻,拍照,錄制語音電話,跟蹤用戶的位置。即使手機鎖定且屏幕關閉的情況也不例外。


該團隊將研究結果告知谷歌,后者通知了其它安卓廠商,其中三星已確認其智能手機中也存在這些漏洞。谷歌指出其它原始設備制造廠商也確認了這些漏洞的存在,影響全球數億臺設備。


該團隊在報告中說明的是從 Pixel 2和 Pixel 3 設備上找到的漏洞,不過谷歌所有的手機模型均存在這些被統稱為 CVE-2019-2234 的漏洞問題。


研究人員的分析重點放在安裝在Google智能手機(com.google.android.GoogleCamera軟件包)上的攝像頭應用程序中,以搜索任何漏洞。研究人員操縱了特定的動作和意圖,發現攻擊者可以控制Google Camera應用程序使用未經許可的惡意應用程序來拍照和/或錄制視頻。研究人員還發現,在特定條件下,攻擊者可以繞過各種存儲權限策略,以訪問存儲的視頻和照片,以及嵌入在照片中的GPS元數據以通過拍攝照片或視頻并分析相關的EXIF數據來定位用戶。


漏洞驗證


POC:https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf?utm_campaign=Vulnerability%20Report%20191119%20-%20Android%20Camera%20App。


視頻:https://youtu.be/XJAMJOVoVyw。


修復建議


2019年7月在應用商店中發布了 Google Camera Application的更新修復了受影響的谷歌設備中的問題。


參考鏈接


https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf?utm_campaign=Vulnerability%20Report%20191119%20-%20Android%20Camera%20App


上一篇 下一篇