Android Camera Apps中的高危漏洞安全通告
发布时间 2019-11-22漏洞编号和级别
CVE编号:CVE-2019-2234,危险级别:高危,CVSS分值:官方未评定
影响版本
Android Camera Apps
漏洞概述
Checkmarx 安全研究团队的研究人员表示,任何应用程序在不具备具体权限的情况下均可控制谷歌的安卓摄像头 app 并进行多项活动,包括录制视频,拍照,录制语音电话,跟踪用户的位置。即使手机锁定且屏幕关闭的情况也不例外。
该团队将研究结果告知谷歌,后者通知了其它安卓厂商,其中三星已确认其智能手机中也存在这些漏洞。谷歌指出其它原始设备制造厂商也确认了这些漏洞的存在,影响全球数亿台设备。
该团队在报告中说明的是从 Pixel 2和 Pixel 3 设备上找到的漏洞,不过谷歌所有的手机模型均存在这些被统称为 CVE-2019-2234 的漏洞问题。
研究人员的分析重点放在安装在Google智能手机(com.google.android.GoogleCamera软件包)上的摄像头应用程序中,以搜索任何漏洞。研究人员操纵了特定的动作和意图,发现攻击者可以控制Google Camera应用程序使用未经许可的恶意应用程序来拍照和/或录制视频。研究人员还发现,在特定条件下,攻击者可以绕过各种存储权限策略,以访问存储的视频和照片,以及嵌入在照片中的GPS元数据以通过拍摄照片或视频并分析相关的EXIF数据来定位用户。
漏洞验证
POC:https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf?utm_campaign=Vulnerability%20Report%20191119%20-%20Android%20Camera%20App。
视频:https://youtu.be/XJAMJOVoVyw。
修复建议
2019年7月在应用商店中发布了 Google Camera Application的更新修复了受影响的谷歌设备中的问题。
参考链接
https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf?utm_campaign=Vulnerability%20Report%20191119%20-%20Android%20Camera%20App
京公网安备11010802024551号