安卓被曝严重漏洞是怎么回事？漏洞又有哪些？

昨日，安全公司Checkmarx发现，安卓系统存在一个漏洞，让恶意应用无需用户许可就能录制视频、拍摄照片和捕获音频，并将内容上传到远程服务器。

正常系统中，安卓系统应该在未经用户许可的情况下，禁止程序自主访问手机摄像头和麦克风，但该漏洞能让程序在没有获得用户的许可下，即可通过访问设备存储空间的权限，从而获得试用像头和麦克风来捕获视频和音频。而获取设备存储空间的权限是大多数程序必须获得的权限。

为了验证这一漏洞，Checkmarx制作了一个类似应用，表面是一个天气应用程序，实际可以在后台收集大量手机数据。经测试发现，在手机处于待机状态时，该应用也可以直接启动摄像机和麦克风，收集这类数据。同时还可以访问照片中的位置数据，并监听用户的手机内容。