想想幾個場景

別人輕易的就知道了你現在在哪裡，和誰在一起，在幹嘛

你和別人的通話內容以及通話的場景被競爭對手拿到

是不是很可怕？今年7月志願者報告給谷歌的一個漏洞就透漏出這些可怕的場景。

黑客到底是怎麼輕易的通過你的手機在你不知情的情況下獲得你身邊的各種祕密的？下面我來介紹一下

Checkmarx 的研究人員是這麼說的，“我們的團隊發現了一種操縱特定動作和意圖的方法，可以在沒有特定許可權的情況下通過任何app控制谷歌相機。"

Checkmarx做了一個實驗：他們開發了常見的天氣APP。這個APP看起來一切正常，而且除了基本的儲存訪問，這個app頁不需要任何特殊的許可權。

然而這個應用程式其實分為了兩部分，一部分正常的天氣功能，而另一部分則連線一個控制伺服器，以接收攻擊者的命令。

當這個APP安裝並啟動程式後，它將建立一個與控制伺服器之間的長連線，然後等待指令。即便你關閉APP，也不會關閉這個長連線。

根據Checkmarx的研究，黑客可以做到這些事情

1 使用受害人的手機拍照並上傳

2 使用被害人的手機錄影並上傳

3 獲取被害人手機上所有照片的GPS資訊並上傳

4 在隱型模式下拍照和錄影

5 在使用者通話時自動錄影周邊場景，通話錄音

看起來是不是很可怕，不過大家可以放心的是，這個漏洞Checkmarx已經提交給了谷歌和三星，並且他們已經修復了這個漏洞（CVE-2019-2234）。

不過對於國內的廠商，你就得自己去確認這個漏洞的修復情況了~希望大家修復的比較快吧~~

https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera