安卓爆漏洞，你的手机摄像头会被黑客盯上？最新系统版本或可避免

近日，以色列安全公司Checkmarx曝光其此前发现的安卓系统漏洞：部分应用程序可绕过用户的许可调用摄像头和麦克风，并能够录音、拍照甚至录像。该公司称，今年7月，谷歌与三星公司都证实了该漏洞的影响，并对其进行修复。南都记者注意到，谷歌于今年9月3日发布的安卓最新版本Android 10确实对摄像头访问权限实施了限制。

安卓系统手机摄像头可被应用程序擅自调用的现象在此前就已经引发热议。去年，升降式摄像头手机大火时，许多安卓系统手机都被指出在打开某些应用时，手机摄像头在用户未使用相机功能时自动弹出的现象。

2018年，南都曾经报道；当允许QQ浏览器获取相机权限后，打开旅游网站点击“周边游”链接，vivo NEX的前置摄像头突然自动升降。随后，QQ浏览器紧急回应，经过测试发现确认存在调起摄像头动作，但这一动作并不会开启摄像头拍摄或记录，也不会采集用户的任何隐私，并表示对这一使用体验进行优化。

而另一个采取升降式摄像头设计手机也被曝出存在同样问题。当时南都记者在测评时，使用OPPO Find X手机打开另一款腾讯旗下产品QQ空间也出现上述现象。

Checkmarx在其博客帖子中提到，通过安卓系统相机拍摄的照片和视频会被存储在SD卡中，且属于“敏感数据”类别，而应用访问照片和视频则需要具有特殊权限（存储权限）。为此，AOSP（Android 开放源代码项目）创建了应用必须向用户请求的一组特定权限。基本上，具有存储权限的应用可以广泛应用整个SD卡，出于合法目的，许多应用经常请求该权限。

该公司称，在研究该漏洞时，Checkmarx研究人员模拟黑客试图访问目前被广泛应用于安卓系统相机应用的权限策略，发现此类存储访问范围允许恶意应用程序在没有特定相机权限的情况下拍摄照片和视频，并且仅需要存储权限即可进一步操作获得所拍摄的照片和视频。

此外，在另一种情形下，黑客可以绕过各种存储权限策略，并通过拍摄的照片和视频解析EXIF数据（“可交换图像文件格式”：可以记录数码照片的属性信息和拍摄数据），从而通过GPS元数据找到用户当前的GPS位置。

值得注意的是，Checkmarx研究人员还找到一种方法，即使手机被锁定或屏幕被关闭，流氓应用也可以强制相机应用程序拍照和录制视频。“即使用户处于语音通话中，我们的研究人员也可以这样做。”该公司称。

而最初该系统漏洞仅在Google Pixel 2 XL和Pixel 3内置相机应用中发现，当该公司深入研究时发现这些漏洞也影响了部分主要的智能手机供应商，例如三星。

在今年7月，Checkmarx向谷歌提交了漏洞报告，随后谷歌与三星公司都证实了该漏洞的影响，并表示已经修复了漏洞。漏洞修复后，Checkmarx称谷歌与三星都表示，为了安全起见，用户可以更新到最新版本的安卓操作系统。

南都记者了解到，如果根据9月初发布的安卓系统最新版本Android 10变更信息，或在一定程度上印证了上述漏洞消息。

Android 10变更信息显示：在隐私权方面对访问摄像头详情和元数据的权限实施了限制，应用必须具有相机权限才能访问此方法的返回值中可能包含的设备特定元数据。同时，对于Android 10 及更高版本为平台的应用，其访问权限范围限定为外部存储，且仅包括应用文件和应用创建的照片、视频和音频片段。此外，应用在后台运行时访问设备位置信息需要权限，若应用不符合以下条件之一则会被视为在后台访问位置信息：属于该应用的Activity 可见；该应用运行的某个前台设备已声明前台服务类型为location。

采写：南都记者 孔学劭实习生 廖静娜