有資訊保安公司發現 Android 系統有一項漏洞,能讓惡意 App 在未經用戶許可的情況下,透過手機的相機和麥克風偷拍照片以及影片,或是透過檔案裡的 GPS 資訊得知用戶所在的位置,甚至將檔案上傳到遠端的伺服器。該公司指 Google、Samsung 與其他 Android 手機的相機 App 都被發現有這個漏洞。
以色列資安公司 Checkmarx 指,此漏洞令惡意 App 只需獲得存取設備存儲空間的權限,就可額外獲得使用相機和麥克風的權限。而為了證實推測,Checkmarx 製作了一個偽裝成天氣應用的 App,嘗試在手機屏幕或 App 處於關閉狀態時,在後台收集大量數據。經測試發現,漏洞可以令 App 收集大量資料,甚至消除快門聲音以拍攝照片、錄製短片、取得手機 GPS,監聽及錄製電話內容,更可上載 SD 卡內儲存的圖像。
Checkmarx 特別提到 Google 以及 Samsung 均在此次事件受影響,而 Google 則回應表示「很感謝 Checkmarx 讓我們注意到漏洞」,同時指已向其他 Android 合作夥伴協調,Google 早在 2019 年 7 月已通過 Google Play 對 Google Camera Application 的軟件更新解決漏洞,建議用戶最好盡快升級到最新版的 Android 安全更新。Samsung 亦表示其手機系列所出現的漏洞也透過軟件更新修復。
資料來源:9to5mac