安全平台Checkmarx的研究人员发现，在某些情况下，对手可以接管智能手机的摄像头应用程序来录制视频、拍照、窃听对话和识别GPS坐标，所有这些都不需要用户知道。

在详细分析了Google Camera应用程序后，团队找到了操纵动作和意图的方法，任何应用程序都可以控制Google Camera应用程序，即使没有特定的权限。同样的漏洞也适用于三星的摄像头应用程序。

即使手机被锁定或屏幕关闭，或者用户正在进行语音通话，攻击者也可能会强制相机应用程序拍照和录制视频。可以读取SD卡的恶意应用程序不仅可以访问过去的照片和视频，还可以使用这种新的攻击方法直接推出新的照片和视频。

安全研究主管Erez Yalon在Checkmarx博客上写道：

当漏洞第一次被发现时，我们的研究团队确保它们能够重现轻松利用漏洞的过程。确认后，Checkmarx研究团队将负责任地将调查结果告知谷歌。

他们直接与谷歌合作，通知了我们的研究团队，并证实了我们的怀疑，即这些漏洞不是Pixel产品线特有的。谷歌通知我们的研究团队，它的影响要大得多，并扩展到更广泛的安卓生态系统。三星和其他供应商也承认，这些缺陷也影响了他们的相机应用，并采取了缓解措施。

谷歌对披露做出回应：`我们感谢Checkmarx引起我们的注意，并与谷歌和安卓合作伙伴合作协调披露。通过2019年7月在谷歌Play商店更新谷歌相机应用程序，受影响的谷歌设备已经解决了这个问题。所有合作伙伴都可以获得修补程序。"

郑重声明：本文版权归原作者所有。转载文章只是为了传播更多的信息。如果作者信息标注有误，请第一时间联系我们修改或删除。谢谢你。