近日，某安全研究团队的研究人员表示，任何应用程序在不具备具体权限的情况下均可控制谷歌的安卓摄像头 app 并强制其拍照或录视频，即使手机锁定且屏幕关闭的情况也不例外。该团队将研究结果告知谷歌，后者通知了其它安卓厂商，其中三星已确认其智能手机中也存在这些漏洞。谷歌指出其它原始设备制造厂商也确认了这些漏洞的存在，影响全球数亿台设备。

这些漏洞意味着恶意应用程序能够在无需特定摄像头权限的情况下拍照或录制视频，而且在拍摄之后只需要存储权限就能够提取它们。另外，如果摄像头 app 中启用了位置信息，则恶意应用程序还能够访问照片和用户当前的 GPS 定位信息。这种行为并非预期行为，因为 Google Camera app 不应当受外部应用完全控制，从而将用户出于信任而给予安卓操作系统的摄像头/麦克风/GPS 的权限完全提供给外部应用。

缓解建议

确保谷歌、三星及安卓用户上的所有应用程序已更新。

有关消息来源：https://www.freebuf.com/vuls/220644.html