【背景】
最近Android安全隐私形势比较严峻,在曝光了Android GIF开源库漏洞之后,谷歌和三星Android系统的Camera应用被发现漏洞(CVE-2019-2234),可被用来秘密地通过拍照和录视频来提取用户所在环境和地理位置数据,导致敏感隐私信息泄露。
以色列安全厂商Checkmarx在近期发现了Google和三星手机的Android的Camera应用(CVE-2019-2234)问题,在2019年7月4日向Google的Android安全团队提交了漏洞报告,谷歌在2019年7月13日将漏洞等级设置为中等,期间Checkmarx又提供了更多的反馈,在2019年7月23日谷歌将漏洞等级提高到高等。我们也注意到国内一些媒体已经开始一些漏洞披露,特别是CCTV也进行了一些曝光。奇安信移动安全团队也一直关注此漏洞的动态,确认此问题会造成比较严重的个人隐私安全的风险,认为有必要向公众提示此漏洞的风险以及时采取应对措施,同时我们也会持续进行跟踪,如有必要我们可能会进行更详细的披露。
【漏洞危害】
通过对Google Camera应用程序的分析,Checkmarx 团队发现通过操控特定的actions和intents,攻击者完成可以在未取得相关权限下拍摄照片或录制视频,这个攻击可以通过让用户使用一个并没有要求拍照和视频录制权限的恶意应用达成。同时他们发现攻击者可以规避各种存储许可策略,从而使他们能够访问视频和照片以及照片中嵌入的GPS数据,通过私自拍摄照片或录制视频来不断记录用户的地理位置信息,造成用户个人泄露。主要存在以下几个隐私泄露的可能:
1. 在受害者的手机上私自拍照,私自上传。
2. 在受害者的手机上私自录制视频,私自上传。
3. 解析所有最新的GPS标签照片,获取用户地理位置信息,定位用户当前位置。
4. 在手机锁定或者屏幕关闭下,从而在拍照和录制视频时手机保持静音。
5. 记录语音通话(电话,社交语音),对话双方音频以及受害者一侧的视频进行录制,并私自上传。
从目前漏洞的批露情况来看,漏洞的隐私威胁较大,涉及到个人环境隐私与行踪敏感信息泄露。照片与个人行踪不但个人有关,还涉及商业、政府、军队等组织机构,一旦出现信息泄露,势必会造成严重的损失。
【漏洞原理】
根据(CVE-2019-2234)披露的情况,Checkmarx研究人员设计了一种攻击方案,该方案通过滥用Google Camera应用本身来迫使其代表攻击者进行工作,从而规避了此权限策略。Android Camera应用程序通常会将其照片和视频存储在SD卡上。由于照片和视频是敏感的用户信息,因此为了使应用程序能够访问它们,它需要特殊的权限:存储权限。不幸的是,存储权限非常广泛,这些权限可以访问整个SD卡。这意味着恶意应用程序可以在没有特定相机权限的情况下拍摄照片或视频,只需要获取存储权限就可以进行拍摄,并在拍摄后获取照片和视频。此外,如果在摄像头应用程序中启用了该位置,则恶意应用程序还可以访问手机和用户的当前GPS位置。
【解决方案】
从漏洞的确认与修复情况看,2019年8月18日,谷歌就漏洞问题与多家供应商联系,2019年8月23日三星确认了受到了影响,目前就谷歌和三星确认了漏洞存在,并且进行了修复。避免使用不可信来源的应用,到主流的应用市场下载应用。
奇安信移动安全团队和盘古团队在持续挖掘漏洞相关的技术细节和影响面及场景,国内还没有厂商确认受此漏洞的影响,我们也将持续跟踪国内主要Android系统手机与此漏洞相关的新情况,随时向用户同步更新。
奇安信移动安全团队与盘古团队建议:
1. Android手机用户(特别是原生Android系统用户,三星和谷歌的Pixel系列手机),请把手机系统升级到最新版本的Google Android系统,升级到最新的Google Camera应用程序。
2. 未确认漏洞受影响的其他产商再次核实一下,如果存在漏洞影响情况,请及时修复漏洞,并及时通知用户升级更新。
【参考】
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera
https://en.wikipedia.org/wiki/Exif
https://news.sina.cn/sh/2019-11-23/detail-iihnzahi2773023.d.html?from=wap
原文始发于微信公众号(奇安信病毒响应中心):Google Android系统及相机应用可能被滥用来收集用户敏感信息漏洞风险提示