Google三星中招！安卓爆相机漏洞恶意App可不经允许开启摄录影

Android爆相机漏洞，能让攻击者能利用恶意App控制使用者的相机App，并进一部取得用使用者位置资讯。（图／取自免费图库Pixabay）

王晓敏／综合外电报道

Android系统遭爆漏洞！能让恶意应用程式在未经允许的情况下，开始手机的相机及麦克风进行拍照或录影，并将其上传至远端伺服器。这项漏洞目前已在部分设备上更新修复。

资安公司CheckMarx昨（19）日发布报告，为进一步了解智慧型手机相机让用户面临怎样的隐私风险，该公司安全研究团队针对滥用手机镜头的应用程式进行深入了解，最终发现了多个「权限绕过漏洞」。

该漏洞使攻击者能利用恶意App控制使用者的相机App，在未经使用者同意的情况下开启摄录影，更有可能规避各种储存权限策略，让攻击者能存取使用者的影片、照片及照片所附带的GPS定位数据，透过这些资讯进一步知晓使用者位置。

此漏洞不仅存在于Google的相机应用程式中，CheckMarx也在三星的相机App发现同样的漏洞。研究人员也发现，即便手机正处于锁定或萤幕关闭的状态，恶意人士仍可利用这些恶意App强制开启相机App拍照、录影，即便使用者手机正处于语音通话中，仍可执行相同操作。

CheckMarx已于今年7月向Google的Android安全团队提交了漏洞报告，而Google与三星在接获漏洞回报后已修复相关漏洞。Google表示，已透过Google Play商店发布Google相机App的更新，其他合作伙伴也可透过此方法更新相机App。