最前线 | 谷歌Android系统再曝漏洞，恶意应用可以秘密录制视频

Android系统被曝出一个严重的安全漏洞，可以让应用绕过用户许可秘密录制视频。

以色列安全公司Checkmarx，在研究谷歌智能手机Pixel 2XL和Pixel 3的谷歌相机应用时，发现了这个漏洞，代号为CVE-2019-2234。除了谷歌手机之外，三星手机上也发现这样的漏洞。三星是目前全球用户数最多的安卓机厂商，系统底层的漏洞可能会影响数亿人的信息安全。

这个漏洞使得恶意应用无需用户许可就能录视频、拍照片，在你打电话时还会录制音频，并将这些信息上传至服务器。拍照或录视频时，还会关闭智能手机的声音，这样就不会有相机快门的声音提醒用户。此外，它还可以确定你的位置信息：从拍摄的照片中捕捉GPS标签，并使用这些标签在全球地图上定位用户的位置。更要命的是，无论智能手机是否解锁，都可以进行拍照和录像。

所有这些都是在后台悄无声息地进行的，用户并不知情。

通常来说，Android会阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风，但这个漏洞的存在，使得应用可以轻松绕过用户的许可。为了验证这个漏洞，Checkmarx开发了一个天气应用，这类应用在谷歌Play Store中一直很流行。这个应用不需要任何特殊的权限，只需获得基本的存储访问，即可调用摄像头和麦克风，从而进行上述那些有安全危险的操作。

这个应用程序与控制服务器相连，用户安装并启动应用程序后，它将创建与控制服务器的持久连接，然后等待攻击者的指令。

今年7月4日，Checkmarx向谷歌的Android安全团队提交了关于这个漏洞的报告，谷歌最初将其的严重程度设置为中等，随后调为高级。8月1日，谷歌证实了这些漏洞影响了更广泛的Android生态系统，波及多家设备厂商，8月29日，三星证实该漏洞影响了他们的设备。

好在目前谷歌和三星都已修补了这一漏洞，在漏洞修复后，谷歌和三星向外界公布了这一漏洞的消息。为了保证信息安全，用户可以更新到最新版本的Android操作系统。

据福布斯报道，网络威胁情报专家Ian Thornton- Trump对此表示，如果黑帽子发现了这个漏洞，他们可以很容易地将这项研究变现，获得数十万美元。他认为，虽然谷歌修复漏洞的速度很快，但鉴于漏洞的严重程度，谷歌是时候动用一些Project Zero（谷歌2014年宣布的互联网安全项目，团队成员主要是谷歌内部顶尖安全工程师）的能力，来深入挖掘Android操作系统，提升安卓设备的安全性。