最前線 | 谷歌Android系統再曝漏洞，惡意應用可以秘密錄製視頻

Android系統被曝出一個嚴重的安全漏洞，可以讓應用繞過用戶許可秘密錄製視頻。

以色列安全公司Checkmarx，在研究谷歌智能手機Pixel 2XL和Pixel 3的谷歌相機應用時，發現了這個漏洞，代號為CVE-2019-2234。除了谷歌手機之外，三星手機上也發現這樣的漏洞。三星是目前全球用戶數最多的安卓機廠商，系統底層的漏洞可能會影響數億人的信息安全。

這個漏洞使得惡意應用無需用戶許可就能錄視頻、拍照片，在你打電話時還會錄製音頻，並將這些信息上傳至服務器。拍照或錄視頻時，還會關閉智能手機的聲音，這樣就不會有相機快門的聲音提醒用戶。此外，它還可以確定你的位置信息：從拍攝的照片中捕捉GPS標籤，並使用這些標籤在全球地圖上定位用戶的位置。更要命的是，無論智能手機是否解鎖，都可以進行拍照和錄像。

所有這些都是在後台悄無聲息地進行的，用戶並不知情。

通常來說，Android會阻止應用在未經用戶許可的情況下訪問智能手機攝像頭和麥克風，但這個漏洞的存在，使得應用可以輕鬆繞過用戶的許可。為了驗證這個漏洞，Checkmarx開發了一個天氣應用，這類應用在谷歌Play Store中一直很流行。這個應用不需要任何特殊的權限，只需獲得基本的存儲訪問，即可調用攝像頭和麥克風，從而進行上述那些有安全危險的操作。

這個應用程序與控制服務器相連，用戶安裝並啟動應用程序後，它將創建與控制服務器的持久連接，然後等待攻擊者的指令。

今年7月4日，Checkmarx向谷歌的Android安全團隊提交了關於這個漏洞的報告，谷歌最初將其的嚴重程度設置為中等，隨後調為高級。8月1日，谷歌證實了這些漏洞影響了更廣泛的Android生態系統，波及多家設備廠商，8月29日，三星證實該漏洞影響了他們的設備。

好在目前谷歌和三星都已修補了這一漏洞，在漏洞修復後，谷歌和三星向外界公佈了這一漏洞的消息。為了保證信息安全，用戶可以更新到最新版本的Android操作系統。

據福布斯報導，網絡威脅情報專家Ian Thornton-Trump對此表示，如果黑帽子發現了這個漏洞，他們可以很容易地將這項研究變現，獲得數十萬美元。他認為，雖然谷歌修復漏洞的速度很快，但鑑於漏洞的嚴重程度，谷歌是時候動用一些Project Zero（谷歌2014年宣佈的互聯網安全項目，團隊成員主要是谷歌內部頂尖安全工程師）的能力，來深入挖掘Android操作系統，提升安卓設備的安全性。

原創文章，作者：李振梁。

本文經授權發布，不代表36氪立場。
如若轉載請註明出處。來源出處：36氪