以色列安全公司Checkmarx在当地时间11月19日发布的一篇博文中披露了安卓系统存在的一个新漏洞，即应用程序可以在未获得权限的情况下，可以录制视频或获取设备位置等元信息。谷歌公司已确认了该问题的存在，并称该问题已通过补丁被解决。

Checkmarx安全研究团队称，通过使用Google Pixel 2 XL和Pixel 3，并研究Google Camera应用后，最终发现了多个与绕过权限问题有关的漏洞。并在进行进一步挖掘之后，研究团队发现这些漏洞同样会影响像三星等安卓生态系统中的其他智能手机供应商，对成千上万的智能手机用户产生重大影响。

漏洞本身（CVE-2019-2234）允许恶意应用程序远程控制摄像机、麦克风和GPS位置数据，并获得相应数据。

Checkmarx安全研究主管Erez Yalon表示：“我们的团队找到了一种处理特定动作和意图的方法，这使得没有特定权限的任何应用程序都可以控制Google Camera应用程序。仅仅考虑到谷歌和三星智能手机的覆盖范围，这些漏洞的影响就对数亿用户构成了重大威胁。

为了证明安卓存在的这个风险，Checkmarx开发了一个利用前述安卓漏洞的流氓软件，并伪装成一个简单的气象应用程序。该软件最终可以在手机锁定、屏幕关闭或应用关闭的情况下录制视频，侵入手机中任何照片或视频并提取当中包括GPS在内的元数据，窃听并记录双向电话对话，同时录下视频或拍照，将相机快门静音，使得录制时更难被发现，将手机上存储的所有照片或视频传输到攻击者控制的服务器上等。

对于该漏洞，谷歌在一份声明中表示，我们感谢Checkmarx提请我们注意，并与谷歌和安卓合作伙伴合作以协调披露。通过在2019年7月对Google Camera Application进行Play商店更新来解决受影响的谷歌设备上的问题。还向所有合作伙伴提供了补丁。

三星也给出官方回应称，自从谷歌收到有关此问题的通知以来，我们随后发布了补丁程序以解决可能受到影响的所有三星设备型号。我们重视与安卓团队的合作关系，这使我们能够直接识别并解决此问题。

三星发言人称，我们建议所有用户使用最新软件更新其设备，以确保提供最高级别的保护。

但声明并未说明三星何时发布了补丁程序，也没有说三星客户如何检查补丁是否已安装。

Checkmarx表示，谷歌已经私下表示，除三星外，其他安卓手机制造商也可能受到威胁。