在谷歌、三星和其他原始设备制造商的相机应用程序中发现了一个新的错误。他们可以用手机的摄像头偷偷监控车主。为了成功实施劫持，必须向所有恶意应用程序授予数据存储权限。

谷歌最近一直致力于通过应用程序的隐私保护用户数据的安全，公司采用了更细粒度的权限系统，只在适当的时候要求并授予某些硬件功能的访问权限。不幸的是，Checkmarx在去年7月报告的一个错误可以通过使用看似合法的非相机应用程序来规避。

该应用程序对用户和谷歌的自动反恶意软件系统无害，甚至可能不需要访问数据存储的权限，并且可能保存设置或文件。但是，这个错误会允许劫持相机应用程序，相机应用程序也使用存储权限保存照片和视频，可以远程无声地控制相机应用程序拍摄照片或录制视频，甚至可以使用相机应用程序的GPS访问来获取手机的位置。

Checkmarx研究人员发现了该漏洞，并在周二的分析中表示：“不幸的是，存储权限非常广泛，这些权限可以访问整个SD卡。有大量具有合法用例的应用程序请求访问该商店，但它们对照片或视频并不特别感兴趣。事实上，这是观察到的最常见的请求权限之一。”

虽然其他OEM相机应用程序也可能受到影响，但该漏洞已被命名为影响谷歌和三星的相机应用程序。按照披露规则，安全研究团队在7月份向谷歌通报了该漏洞，三星在今年8月份确认了该漏洞。虽然谷歌表示公司已经解决了问题，但三星尚未发表声明。