安卓被曝嚴重漏洞是怎麼回事 安卓系統有哪些漏洞

11月21日消息，根據外媒GSMArena報道，一組安全研究人員找到了一種透過訪問手機存儲空間就可以繞過Android權限的方法。

安卓被曝嚴重漏洞是怎麼回事?

近日，以色列的安全公司“Checkmarx”曝光了他們曾在安卓系統中發現了漏洞“CVE-2019-2234”——惡意應用只要獲得了基本的存儲訪問，就可以繞過用戶的許可，調用攝像頭和麥克風拍照、錄像、錄音。

Checkmarx的研究人員發現具有“存儲”權限的App竟然可以訪問設備上SD卡的全部內容，同時該APP無需獲得以上權限就可以使用相機App的所有開放功能。

一般而言，一款應用想要錄製視頻、拍攝照片或者獲取設備位置，必須獲得以下權限：安卓相機使用權限、安卓視錄製權限、獲取精確位置權限以及獲取粗略位置權限。

“安卓智能手機上惡意執行的App可以讀取SD卡，該App不僅可以訪問已有的照片和視頻，而且可以利用這種新的攻擊方法定向啓動相機，從而拍攝照片或錄製視頻。不僅如此，GPS的元數據通常會嵌入到照片中，攻擊者可以利用這一點透過對拍攝照片或視頻的EXIF數據稍加解析，便可以獲取用戶的定位。”

Checkmarx於2019年7月4日向谷歌指出了該漏洞，7月23日，谷歌將此漏洞提升爲“高危漏洞”級別。8月1日，谷歌證實了Checkmarx研究人員懷疑的漏洞的確存在，谷歌相機確實會影響其它搭載安卓系統的移動設備，該漏洞被命名爲CVE-2019-2234。