严重的Android漏洞CVE-2019-2234可使攻击者控制受害者的相机并拍照，录制视频和了解位置。

在去年发布补丁之前，严重的Android漏洞CVE-2020-2234可能已使攻击者拥有了从包括Google和Samsung在内的某些智能手机中访问相机应用程序的方法。犯罪分子可能会利用它来拍照，录制视频和音频，或者在受害者不知情或未经其同意的情况下了解受害者的位置。

Checkmarx的安全研究主管埃雷兹亚龙(Erez Yalon)解释说，即使手机被锁定、屏幕被关闭，或者用户在打电话，这个漏洞也可能被利用。去年夏天，Checkmarx的一个研究团队发现了这个漏洞。亚伦（Yalon）在今年的虚拟黑帽亚洲(virtual Black Hat Asia)上的一次演讲中，提供了一个黑客发现和报告漏洞的观点。

他以对Google个人助理（PA）的简单命令开始了对权限绕过漏洞的讨论：“采取自拍”他说。

这些命令有两种意图:“显式意图”是调用特定应用程序的特定操作。这个命令还具有“隐式意图”，意思是当用户发出命令时，应用程序将解释并执行它。在这种情况下，PA为自拍设置了一个意图；摄像头应用程序捕捉到它，并打开了相机。

*本文出自SCA安全通信联盟，转载请注明出处。