安卓安全漏洞使应用程序能够访问人们的摄像头进行秘密视频和音频记录

谷歌、三星等公司的安卓智能手机存在安全漏洞，允许恶意应用程序录制视频、拍照和捕捉音频，然后未经用户许可将内容上传到远程服务器。

该漏洞是由安全公司Checkmarx发现的，今天Ars Technica强调了这一点。此漏洞可能会打开高价值目标，并使其周围环境被智能手机非法记录。

安卓旨在防止未经授权的应用程序访问智能手机上的摄像头和麦克风，但这一特殊漏洞允许应用程序在没有用户明确许可的情况下使用摄像头和麦克风捕获视频和音频。应用程序需要做的就是访问设备存储，这通常是大多数应用程序需要的权限。

为了演示漏洞是如何工作的，Checkmarx创建了一个概念验证应用程序，表面上看起来是一个天气应用程序，但在后台收集了大量数据。

即使手机屏幕关闭或应用程序关闭，应用程序也可以拍摄照片和录制视频，并访问照片中的位置数据。它可以在隐形模式下运行，消除相机的快门声，并记录双向电话对话。所有数据都可以上传到远程服务器。

使用漏洞利用程序时，被攻击的智能手机屏幕会在录制视频或拍照时显示摄像头，让受影响的用户知道发生了什么。当看不到智能手机显示屏或者把设备放在屏幕下面时，可以偷偷使用，它有利用距离传感器判断智能手机什么时候面朝下的功能。

谷歌通过7月发布的摄像头更新解决了其Pixel手机中的漏洞，三星也修复了该漏洞，但不清楚何时发布。来自谷歌：

“我们非常感谢Checkmarx引起我们的注意，并与谷歌和安卓合作伙伴合作协调披露事宜。2019年7月，谷歌相机应用在Play Store中更新，解决了受影响的谷歌设备上的问题。所有合作伙伴。”

来自三星：

“自从谷歌被告知这个问题后，我们已经发布了补丁来解决所有可能受到影响的三星设备型号。我们重视与安卓团队的合作，这使我们能够直接识别和解决这个问题。”

据Checkmarx报道，谷歌曾表示，其他厂商的安卓手机也可能存在漏洞，所以那里仍然有一些设备存在漏洞。谷歌没有透露具体的制造商和型号。

由于这是安卓系统的错误，苹果的iOS设备不受此安全漏洞的影响。

不清楚为什么应用程序可以在没有用户许可的情况下访问相机。在给Ars Technica的邮件中，Checkmarx推测这可能与谷歌决定将摄像头与Google Assistant配合使用有关，其他厂商可能已经实现了这一功能。