最近，安卓手机被爆出严重漏洞，恶意应用能秘密录制音视频、监听通话，这一漏洞影响了全球数亿台设备。

喜欢上厕所刷手机的朋友要小心了……

据外媒爆料，安全公司Checkmarx发现，谷歌和三星等公司的Android智能手机存在一个安全漏洞，可让恶意应用无需用户许可就能录制视频、拍摄照片和捕获音频，并将内容上传到远程服务器。　　

这个漏洞有可能会让高价值目标的周边环境被智能手机非法记录。Android本应阻止应用在未经用户许可的情况下访问智能手机摄像头和麦克风，但这个漏洞能让应用无需获得用户的明确许可。

这意味着恶意应用程序能够执行以下操作：

1. 无需特定摄像头、麦克风权限的情况下拍照和/或录制音视频；

2. 通过存储权限就能够提取照片、音视频；

3. 即使在拍照和录制视频时，也能收到双向对话，有被勒索的潜在可能；

4. 将相机快门静音，让受害者在拍照时听不到声音；

5. 传输存储在SD卡中的历史视频和照片；

6. 如果摄像头 app 中启用了位置信息，攻击者可以利用这一点通过对拍摄照片或视频的EXIF数据稍加解析，便可以获取用户的定位。

目前谷歌通过发布摄像头更新解决了Pixel手机中的这个漏洞，三星也修复了该漏洞。据Checkmarx推测，这可能与谷歌决定让摄像头与谷歌人工智能助理服务Google Assistant配合运行有关，而其他厂商可能也已启用这一功能。

该漏洞的披露被推迟到谷歌和三星都发布补丁之后，如果你的相机应用程序有最新版本，一定要更新到最新版本以免受攻击的威胁。

此外，在更新到最新版本的Android操作系统时，用户需确保手机已经应用了最新可用的安全补丁， 同时建议为设备使用最新版本的相机应用程序，以降低风险。

好险，差点演变出真实版“窃听风云”！

新技术向来都是一把双刃剑，它能够赋能安全，但同时也会带来伴生的安全风险。网络安全的核心问题是数据安全，“创可贴”式的建设导致产品堆砌、“碎片化”的防护手段，难以提升检测分析的效率，也无法系统判定和解决数据化转型的威胁。

能信安移动终端安全检测系统（MDSCAN）是面对新的移动应用网络威胁形势研发而来，产品采用智能终端智能安全检测技术、移动应用APP动态模糊测试技术、移动应用APP漏洞智能识别技术、移动应用APP恶意代码识别技术等，可以实现对移动智能终端的安全检测。

遏制移动应用中恶意代码程序的存在，包括恶意扣费、隐私窃取、远程控制、恶意传播和系统破坏等多种行为，保障个人和企业隐私和财产安全。

来源：freebuf.com 2020-01-15 11:45:15 by: 能信安科技nesun