首页 >> 网络安全 >>漏洞利用 >> CVE-2019-2234允许攻击者劫持Samsung的Camera App
详细内容

CVE-2019-2234允许攻击者劫持Samsung的Camera App

CVE-2019-2234是一个影响Google和Samsung智能手机的全新漏洞。

该漏洞可以描述为权限绕过问题,即使设备被锁定,攻击者也可以利用该漏洞劫持设备的相机拍照或录制视频。该漏洞由Erez Yalon和Checkmarx 公开。


研究人员分析了Google Camera应用程序,发现“ 通过操纵特定的动作和意图,攻击者可以控制该应用程序通过未经许可的流氓应用程序拍摄照片和/或录制视频 ”。


此外,利用某些攻击情形,黑客可以规避存储许可策略,从而访问存储的视频和照片以及嵌入在照片中的GPS元数据。通过拍摄照片或视频并解析适当的EXIF数据,可以使用此信息来定位用户。


分析显示,可以使用相同的方法来开发Samsung的Camera应用程序。


“ Google本身认为应用程序能够从相机,麦克风和GPS位置检索输入的能力具有很高的侵害性。结果,AOSP创建了应用程序必须向用户请求的一组特定权限,”分析说。因此,研究人员设计了一种攻击方案,以类似于攻击者的方式滥用Google相机应用程序,从而绕过了权限策略。


CVE-2019-2234和“存储许可”的可疑案例

Checkmarx分析还强调了存储权限的可疑性质。众所周知,Android相机应用程序通常将照片和视频存储在设备的SD卡上。由于照片和视频被归为高度敏感的用户信息,因此应用需要特殊的访问权限,即“ 存储权限 ”。


问题在于这些权限范围太广,可能会允许访问整个SD卡。


“ 有大量具有合法用例的应用程序请求访问该存储,但对照片或视频没有特别的兴趣。实际上,这是观察到的最常见的请求权限之一,”研究人员指出。


这是什么意思?恶意应用程序能够拍摄照片和视频,并且可以滥用完全相同的存储权限。此外,如果在摄像头中启用了该位置,则恶意应用程序还可以访问用户设备的GPS位置。


为了证明这一点,研究人员开发了“概念验证应用程序,除了基本的存储权限外,不需要任何特殊权限。”概念验证应用程序模拟了天气应用程序,并具有客户端和服务器-part,表示攻击者通常使用的命令和控制服务器。启动该应用程序后,将启动与命令和控制服务器的连接,该应用程序正在等待来自所谓的攻击者的指令。请务必注意,关闭应用程序不会终止持久连接。


这是基于CVE-2019-2234漏洞的恶意活动的列表,可以由命令和控制服务器的操作员执行:

  • 用受害者的手机拍照,并将其上传到C&C服务器

  • 在受害者的电话上录制视频并将其上传到C&C服务器

  • 解析所有最新照片以获取GPS标签,并在全球地图上定位手机

  • 在隐形模式下操作,从而在拍照和录制视频时手机保持静音

  • 等待语音呼叫,并自动记录受害者的视频和通信双方的音频。

  • 研究人员建议:“ 为了适当地缓解风险并作为最佳实践,请确保您更新了设备上的所有应用程序。”

技术支持: 建站ABC | 管理登录