发现Google Android系统中的漏洞：恶意应用程序可以秘密录制视频

 这个漏洞可能会威胁到亿万人的信息安全，幸好Google和Samsung已经解决了这一问题。

Android系统被曝出一个严重的安全漏洞，可以让应用绕过用户许可秘密录制视频。

以色列安全公司Checkmarx，在研究谷歌智能手机Pixel 2XL和Pixel 3的谷歌相机应用时，发现了这个漏洞，代号为CVE-2019-2234。除了谷歌手机之外，三星手机上也发现这样的漏洞。三星是目前全球用户数最多的安卓机厂商，系统底层的漏洞可能会影响数亿人的信息安全。

这个漏洞使得恶意应用无需用户许可就能录视频、拍照片，在你打电话时还会录制音频，并将这些信息上传至服务器。拍照或录视频时，还会关闭智能手机的声音，这样就不会有相机快门的声音提醒用户。此外，它还可以确定你的位置信息：从拍摄的照片中捕捉GPS标签，并使用这些标签在全球地图上定位用户的位置。更要命的是，无论智能手机是否解锁，都可以进行拍照和录像。

所有这些都是在后台悄无声息地进行的，用户并不知情。

通常来说，Android会阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风，但这个漏洞的存在，使得应用可以轻松绕过用户的许可。为了验证这个漏洞，Checkmarx开发了一个天气应用，这类应用在谷歌Play Store中一直很流行。这个应用不需要任何特殊的权限，只需获得基本的存储访问，即可调用摄像头和麦克风，从而进行上述那些有安全危险的操作。

这个应用程序与控制服务器相连，用户安装并启动应用程序后，它将创建与控制服务器的持久连接，然后等待攻击者的指令。

今年7月4日，Checkmarx向谷歌的Android安全团队提交了关于这个漏洞的报告，谷歌最初将其的严重程度设置为中等，随后调为高级。8月1日，谷歌证实了这些漏洞影响了更广泛的Android生态系统，波及多家设备厂商，8月29日，三星证实该漏洞影响了他们的设备。

好在目前谷歌和三星都已修补了这一漏洞，在漏洞修复后，谷歌和三星向外界公布了这一漏洞的消息。为了保证信息安全，用户可以更新到最新版本的Android操作系统。

网络威胁情报专家伊恩·桑顿·特朗普(Ian Thornton-Trump)表示，如果黑帽发现了该漏洞，他们可以轻松地从研究中获利数十万美元。尽管Google可以快速修复此漏洞，但鉴于漏洞的严重性，Google还是花时间使用“零”项目的一部分(由Google 2014宣布的Internet Security Project，其团队成员主要是来自Google的安全工程师)，深入了解Android操作系统并提高Android设备的安全性。