漏洞预警|微信被“曝光”正在监听用户聊天记录;三星手机出现壁纸引发宕机现象

来源:上海控安
2020-06-08
1928


漏洞预警





微信被“曝光”正在监听用户聊天记录


漏洞信息

移动互联网时代,用户隐私泄露问题一直都存在。特别是进入了大数据时代。一个人的购物喜好以及最近的消费需求都可以被精确的计算出,并提供个性化的推送服务。


最近微信因为用户聊天记录隐私问题又被推上了风口浪尖;在国内的一些短视频平台和社交平台上,出现了一批内容相近的作品。这些作品的主题,大多为“微信正在监听你的聊天记录,通过以下几个步骤1分钟就能关闭这项功能”。不仅是短视频这种流量APP,像小红书上类似的文字教程也获得了大量的收藏和评论:



但实际上,这些博主最终给出的方法其实就是关闭朋友圈“个性化”广告的推荐服务。



但是微信官方表示:“关闭上述服务意味着我们的广告系统不会再利用该类信息为您展示广告,但不代表您将减少看到的广告或不再看到广告。在关闭该项服务期间,您仍可能收到普遍投放的广告。”


影响范围

目前微信所有版本


漏洞分析

微信作为聊天记录的保存方,按照国家的法律规定,需要保存用户两年内的聊天记录,而且可以随时被有关部门查阅,这也是最近提出的电子证据的不可抵赖性的前提条件。

虽然微信在最近的声明中提到,用户的聊天记录都是加密存储的,但是密钥存在微信的服务器上,既然可以加密,那么当然可以去解密,因此微信存在监控聊天记录先决条件。

今年3.15时期,在网络与分布式系统安全会议(NDSS)上,浙江大学网络空间安全学院任奎团队、加拿大麦吉尔大学、多伦多大学学者团队展示了一项最新的研究成果,该成果表明,智能手机App可在用户不知情、无需系统授权的情况下,利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。简而言之,就是可以从用户的声波振动中提取出讲话者的语音。



而Android和iOS开发者文档中都提供加速度传感器的调用方法,在日常手机应用中,加速度传感器通常被用户测速、记录步数等。测量步数等与之相关的App实际上无需获得用户授权就可以获得智能手机的加速度信息。

因为此前业界普遍认为,通过手机加速度器轻易获得或推断敏感的个人信息,App调用手机加速度器权限,几乎不会遇到任何阻力。也正因为这样,通过手机加速度器发起的攻击,不仅隐蔽,而且“合法”。


修复建议

目前没有任何证据表明,微信采取了上述的方式来采集用户数据。但是当今许多热门的Android应用程序的开发人员都会使用IAM接口,来获取用户设备上安装的其他App的列表。软件开发商和广告商可以通过分析用户安装的App列表来推断其兴趣和个人特征(性别,口语,宗教信仰,年龄段),进而精准投放广告。


三星手机出现壁纸引发宕机现象


漏洞信息

因为一张壁纸引发手机宕机的情况再次出现。

近日,据俄罗斯卫星通讯社报道,网名为“Ice Universe”的用户发布了一张可能会导致三星手机崩溃的图片,他表示“无论如何不要将这张图片设置成壁纸,尤其是在三星手机上。”

如果有用户将这张图设置成壁纸,那么他的手机有概率出现重启、闪烁、关机情况。一些手机用户称,他们丢失了所有资料。



影响范围

目前所有安卓10用户


漏洞分析

其实该漏洞属于安卓系统本身自带的图像库引起的Bug,几乎所有安卓10手机都会中招。

造成宕机的原因如下,由于这张壁纸采用了RGB色域标准,安卓10系统会优先选择色域更小的sRGB,因此在调入壁纸时默认需要进行色域转换,此图在色域转换中所需要的时间较长,如果手机无法及时完成图片的色域转换,最终就导致系统陷入崩溃状态中,由于调入壁纸的机制又无法跳过,导致手机必须恢复出厂设置才能恢复正常。

本次是安卓图像处理库的漏洞,是谷歌用于其移动设备中的图像解析处理类库。由于图像处理库是应用生态系统中的核心角色,因此安卓图像类库常常是黑客攻击手机的第一选择,它可以为任何攻击者提供入侵媒介。类似这种超时处理机制的问题,还很可能会引发其它问题,做好异常处理是重要的规避解决方案。


修复建议

不要从来路不明的网站下载图片,对于桌面壁纸,尽量选用系统自带壁纸库的壁纸。



本周安全态势分析


本周发生的事件有微信被“曝光”正在监听用户聊天记录,三星手机出现壁纸引发宕机现象。

1
个人隐私信息泄露是近年频繁发生的问题,因攻击手段简单,造成结果严重,所以受到很多攻击者的关注。信息泄露造成的结果十分影响日常生活,比如骚扰电话,诈骗短信。当个人信息被泄露时,攻击者甚至可以在一些社工库中直接查询到个人信息。
2
多媒体解析库漏洞即是指安卓和iOS手机对音视频、图片处理库的漏洞,一般是对异常处理或者过滤不严格,导致攻击者可以图片或者音视频中运行恶意的二进制数据,造成多媒体库崩溃,进而造成系统崩溃。多媒体解析类库的代码可跨平台通用,也就是图片预解析的行为在各个操作系统相同。正是由于以上原因,使得图像类库经常成为各系统的弱点,我们所要做的就是找到一种方法,将格式错误的多媒体文件发送到设备,等待文件处理,直到漏洞代码触发。在当今互联的世界中,交换图像和视频是最常见的用户交互之一。因此,如果发现重大漏洞,并将其隐藏在图像文件中,是非常隐蔽而且高效的攻击方法。


总体来说,本周的漏洞造成的结果都比较严重,建议有使用这些产品的用户按照修复建议尽快修复漏洞。



收藏
点赞
2000