安卓被曝严重漏洞 无需本人许可就能录制视频、拍摄照片

安卓被曝严重漏洞

安卓手机又有漏洞了。近日，安全公司Checkmarx发现，安卓系统存在一个漏洞，让恶意应用无需用户许可就能录制视频、拍摄照片和捕获音频，并将内容上传到远程服务器。Android本应阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风，但这个漏洞能让应用无需获得用户的明确许可，只需获得访问设备存储空间的权限，即可使用摄像头和麦克风来捕获视频和音频，而这通常是大多数应用要求获得的权限。什么是漏洞?哪些手机有这些漏洞?谷歌是如何解决的?

什么是漏洞?

漏洞是指一个系统存在的弱点或缺陷，系统对特定威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。

漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误，也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用，从而对一个组织的资产或运行造成不利影响，如信息系统被攻击或控制，重要资料被窃取，用户数据被篡改，系统被作为入侵其他主机系统的跳板。从目前发现的漏洞来看，应用软件中的漏洞远远多于操作系统中的漏洞。

哪些手机有这些漏洞?

当Checkmarx安全研究小组开始在即将到来的Pixel 2XL和Pixel 3智能手机上研究谷歌相机应用程序时，他们发现了几个漏洞。所有这些都是由允许攻击者绕过用户权限的问题引起的。

8月1日，Google确认该漏洞影响了更广泛的Android生态系统，其他智能手机供应商也受到了影响。

8月18日，与多家供应商联系，8月29日，三星确认该漏洞影响了他们的设备。

谷歌是如何解决的?

谷歌表示，我们很感谢Checkmarx让我们注意到这一点，并与谷歌和Android的合作伙伴协调披露了相关消息。这个问题已经在受影响的谷歌设备上得到解决，我们在2019年7月对谷歌相机应用进行了Play Store更新。我们还已向所有合作伙伴提供了一个补丁。