【突破盲腸】輕取一個權限 將Android手機變監控機器
Google 早兩日宣布,公司旗下針對發掘 Android 作業系統嘅賞金計劃即時加碼,最高賞金額由 100 萬美元勁升至 150 萬美元。不過,要攞到呢筆賞金,專家估計至少要利用連串漏洞,達成遙距攻擊 Pixel 手機 Titan M 嘅安全系統,仲要係已推出嘅 Android 版本以及重置系統後都移除唔到,先至有可能攞足,但已可見 Google 的確有決心去提升自家系統嘅安全性。都啱嘅,因為系統唔安全,真係趕客㗎,好似 Android 最近一個漏洞,竟然只係需要攞到大部分人都會俾嘅記憶卡存取權限,就可以控制系統咁滯,你話大家仲點會敢用?
意料之外缺口
網絡安全研究團隊 Checkmarx,發掘系統漏洞已成家常便飯,最新發現係 Google 及 Samsung 嘅智能手機存在極大漏洞,影響數以百萬計用家。通過呢個重大漏洞,黑客可以攞到以下系統權限:
- 用手機鏡頭拍攝並上存C&C 伺服器
- 用手機攝錄系統錄音並上存C&C 伺服器
- 當手機放喺耳邊通話,可偷錄任何語音通話
- 偷錄通話音效期間可隨時開啟相機
- 擷取相片嘅 GPS 位址以定位用家位置
- 關上拍攝及錄音功能運作時嘅音效
- 即使手機已上鎖,依然可啟動拍攝及錄影功能
唔係話 Android 系統規定手機應用開發商,喺攞每項權限前,都要俾用家知道及同意先得咩?無錯,不過呢個漏洞最 tricky 嘅地方,就係只需攞到記憶卡存取權限,就可以控制手機嘅 Android 相機攝錄功能,做齊上述所有嘢。 Checkmarx 特登整咗一隻天氣預報應用軟件出嚟,安裝時只會問用家攞記憶卡存取權限,去示範漏洞真係可被利用。專家喺 7 月 4 日將漏洞分別通知 Google 及 Samsung,但過咗接近大半個月,Google 先證實漏洞嘅嚴重性,Samsung 亦喺 8 月尾確認漏洞嘅存在。唔想受到漏洞影響,用家只要將手機作業系統升級至最新版本就得,不過專家提醒如用緊嘅手機,因為機齡太舊而無提供新版本 Android 更新檔,大家就要積極考慮換新機喇。