　米GoogleのAndroidアプリ「Googleカメラ」に、ユーザーが気づかぬうちに動画や写真を撮影し、サーバにアップロードできてしまう不正アプリに悪用できる脆弱性があったと、イスラエルのセキュリティ企業Checkmarxが11月19日（現地時間）、調査結果を添えて発表した。Googleカメラだけでなく、韓国Samsung Electronicsのスマートフォンのカメラや、その他のOEM製Android端末のカメラにも影響するという。

　Androidアプリは、アプリが端末のカメラやマイクにアクセスする際はユーザーに明示的に許可を求めるように設計されているが、Checkmarxの調査によると、この制限を簡単に回避できる脆弱性があった。この脆弱性を悪用すれば、ユーザーの許可なくカメラで写真や動画を撮影したり、端末に保存されている写真や動画をサーバにアップロードできる。

　また、画像や動画にGPSデータが埋め込まれていれば、攻撃者はサーバに集めたデータからユーザーの位置を追跡できる。

　リスクを実証するためにCheckmarxが開発した不正アプリ（天気アプリになりすましたアプリ）では、以下のことが可能だった。

端末がロックされていても、画面がオフでも、アプリが起動していなくても、写真や動画を撮影する
端末に保存されている写真や動画のGPSデータを取得する
通話を傍受して記録する
シャッター音の消音
端末内の写真や動画のサーバへのアップロード
SDカード内の画像や動画のアップロード

　Chekmarxは7月にGoogleとSamsungにこの脆弱性について報告し、両社はカメラアプリのアップデートで対処済みという（Googleは8月1日にこの脆弱性を「CVE-2019-2234」として発行した）。Checkmarxは両社の許可を得たため、この脆弱性についてのブログを公開した。

　GoogleとSamsung以外のどのOEMのカメラが影響を受けているのか、それらの修正が済んでいるのかには言及されていない。

　Checkmarxは公式ブログで、Googleからの以下のコメントを紹介している。「Checkmarxがこの問題に注目し、GoogleおよびAndroidパートナーと協力して開示を調整してくれたことに感謝する。この問題は、影響を受けたGoogleデバイスで、2019年7月にGoogleカメラのアップデートで解決した。また、すべてのパートナーがパッチを利用できるようになっている」

Android版のLINEアプリに整数オーバーフローの脆弱性　アップデート呼びかけ
脆弱性対策情報データベース「JVN」は、Android版のLINEアプリに脆弱性が見つかったと発表し、ユーザーに対しアプリをアップデートするよう呼びかけた。
対応時間ゼロ　勝手に暴露されちゃった「zero-day」
セキュリティ関係でよく聞く「ゼロデイ」とはどういうものか、解説します。
Google、Android月例パッチ公開　深刻度「重大」9件を含む修正　Pixelでは機能強化も
GoogleがAndroidの月例セキュリティ情報を公開した。深刻度が4段階評価で最も高い「重大」9件を含む多数の脆弱性が修正される。Pixelシリーズの場合は音楽解析や日本語ユニコードなどの改善も行われる。
Google Chromeの脆弱性、実は「ゼロデイ」だった
Googleは「Chrome 72」の更新版で修正した脆弱性について、悪用コードが出回っているとの報告が入っていたことを明らかにした。