這個漏洞可能會威脅到億萬人的信息安全，幸好Google和Samsung已經(jīng)解決了這一問題。

Android系統(tǒng)被曝出一個嚴重的安全漏洞，可以讓應用繞過用戶許可秘密錄制視頻。

以色列安全公司Checkmarx，在研究谷歌智能手機Pixel 2XL和Pixel 3的谷歌相機應用時，發(fā)現(xiàn)了這個漏洞，代號為CVE-2019-2234。除了谷歌手機之外，三星手機上也發(fā)現(xiàn)這樣的漏洞。三星是目前全球用戶數(shù)最多的安卓機廠商，系統(tǒng)底層的漏洞可能會影響數(shù)億人的信息安全。

這個漏洞使得惡意應用無需用戶許可就能錄視頻、拍照片，在你打電話時還會錄制音頻，并將這些信息上傳至服務器。拍照或錄視頻時，還會關閉智能手機的聲音，這樣就不會有相機快門的聲音提醒用戶。此外，它還可以確定你的位置信息：從拍攝的照片中捕捉GPS標簽，并使用這些標簽在全球地圖上定位用戶的位置。更要命的是，無論智能手機是否解鎖，都可以進行拍照和錄像。

所有這些都是在后臺悄無聲息地進行的，用戶并不知情。

通常來說，Android會阻止應用在未經(jīng)用戶許可的情況下訪問智能手機攝像頭和麥克風，但這個漏洞的存在，使得應用可以輕松繞過用戶的許可。為了驗證這個漏洞，Checkmarx開發(fā)了一個天氣應用，這類應用在谷歌Play Store中一直很流行。這個應用不需要任何特殊的權限，只需獲得基本的存儲訪問，即可調用攝像頭和麥克風，從而進行上述那些有安全危險的操作。

這個應用程序與控制服務器相連，用戶安裝并啟動應用程序后，它將創(chuàng)建與控制服務器的持久連接，然后等待攻擊者的指令。

今年7月4日，Checkmarx向谷歌的Android安全團隊提交了關于這個漏洞的報告，谷歌最初將其的嚴重程度設置為中等，隨后調為高級。8月1日，谷歌證實了這些漏洞影響了更廣泛的Android生態(tài)系統(tǒng)，波及多家設備廠商，8月29日，三星證實該漏洞影響了他們的設備。

好在目前谷歌和三星都已修補了這一漏洞，在漏洞修復后，谷歌和三星向外界公布了這一漏洞的消息。為了保證信息安全，用戶可以更新到最新版本的Android操作系統(tǒng)。

網(wǎng)絡威脅情報專家伊恩·桑頓·特朗普(Ian Thornton-Trump)表示，如果黑帽發(fā)現(xiàn)了該漏洞，他們可以輕松地從研究中獲利數(shù)十萬美元。盡管Google可以快速修復此漏洞，但鑒于漏洞的嚴重性，Google還是花時間使用“零”項目的一部分(由Google 2014宣布的Internet Security Project，其團隊成員主要是來自Google的安全工程師)，深入了解Android操作系統(tǒng)并提高Android設備的安全性。