安卓被曝嚴重漏洞：不經過你同意APP能隨意訪問相簿

安卓被曝嚴重漏洞：不經過你同意APP能隨意訪問相簿

   安卓作業系統目前是世界最主流的手機作業系統之一，可以說基本上至少有一半的手機都是安卓系統，可是，就是這樣一個使用人數眾多的系統，安卓系統被曝嚴重漏洞，該漏洞顯示，可以不經過你同意，APP就能隨意訪問你手機裡的相簿。

安卓手機

安卓被曝嚴重漏洞

安卓系統的相機App中出現了一個新的漏洞，至少有數百萬檯安卓裝置受到影響，這個漏洞導致其它App在沒有獲得必要許可權的情況下可以拍攝視訊、照片並從儲存器中提取GPS資料。

安卓的App通常會開放照相等多項功能以供同一裝置上的其它App使用，但是為了使用這些功能，其它App必須預先獲得相應的許可權。

針對谷歌和三星，Checkmarx的研究人員在今天披露了一個新的漏洞，即使其它App沒有獲得谷歌App的許可權，它們也一樣可以拍照、錄製視訊或者獲取裝置位置。

這一漏洞被命名為CVE-2019-2234，據稱，如果該問題在2019年7月之前未被解決，將會影響到谷歌相機和三星相機的正常使用。

“監控”

繞過拍照和錄製視訊的許可權申請

經過對谷歌Pixel的相機App的分析，Checkmarx研究人員發現許多許可權結合在一起便可以操縱裝置的相機，進而拍攝照片或錄製視訊。

一般而言，一款應用想要錄製視訊、拍攝照片或者獲取裝置位置，必須獲得以下許可權：安卓相機使用許可權、安卓視錄製許可權、獲取精確位置許可權以及獲取粗略位置許可權。

Checkmarx的研究人員發現具有“儲存”許可權的App竟然可以訪問裝置上SD卡的全部內容，同時該APP無需獲得以上許可權就可以使用相機App的所有開放功能。

“安卓智慧手機上惡意執行的App可以讀取SD卡，該App不僅可以訪問已有的照片和視訊，而且可以利用這種新的攻擊方法定向啟動相機，從而拍攝照片或錄製視訊。

不僅如此，GPS的元資料通常會嵌入到照片中，攻擊者可以利用這一點通過對拍攝照片或視訊的EXIF資料稍加解析，便可以獲取使用者的定位。”

這顯然是一個嚴重的問題，因為賽車遊戲、流媒體服務甚至是天氣預報等多種App會定期申請儲存許可權。

“也許一些App還沒有對照片或視訊訪問產生興趣，但不可否認的是，大量的App都合理合法的範圍內申請儲存許可權，而這是目前最普遍的被申請許可權之一。”