10月26日 , 京东安全方面表示 , 今年上半年发现一个可能会影响全球8亿安卓用户的系统漏洞链 , 将其命名为魔形女漏洞 。 黑客可以利用此漏洞获取用户所有App的隐私数据和权限 , 例如窃取微信的聊天记录、支付宝记录等 , 而用户不会有任何感知 。 目前 , 该漏洞已向谷歌(Google)和各大手机厂商提报漏洞并提出修复建议 。
据京东探索研究院信息安全实验室高级安全研究员Ricky介绍 , 魔形女漏洞命名源于漫威漫画中的魔形女(Mystique) , Mystique可以变化伪装成他人的身份并潜入防卫严密的基地 。 与Mystique类似的是 , 黑客诱导用户下载安装恶意App(或直接将攻击代码嵌入正常App)后 , 可利用魔形女漏洞伪装成任意其他App , 从而可自动启动对手机所有APP的监听和信息获取 。
对安卓用户而言 , 该漏洞将对隐私造成什么影响?具体可能影响到哪些隐私数据?
“我理解安卓用户的隐私数据分为两种 , 一种是包括相册、通讯录在内的系统管理通用数据 , 另外一种是相当于存放在App内部的数据 , 比如微信聊天记录等……魔形女漏洞相当于把用户的隐私‘一网打尽’ , 拿走用户的哪些隐私数据完全取决于攻击者的目的” 。Ricky说道 。
他进一步举例说明 , 黑客可以利用该漏洞 , 获取用户所有App的隐私数据和权限 , 例如任意获取监听微信、Facebook、Telegram聊天记录 , 任意劫持支付宝、Gmail、公司内部工作应用等 , 而用户并不会有感知 。
漏洞从何而来?京东安全方面介绍 , 安卓系统工程师在Android新版本开发过程中为了完成某种特性在产品设计中违反了最小权限的原则 , 导致原本严密的沙箱设计中出现了松动 。 可类比为酒店房间的门锁制造厂商在新产品生产过程中出现了失误 , 导致了一把新出现的钥匙拥有打开所有酒店门锁的权限 。
Ricky表示 , 魔形女漏洞的发现对安全行业起到了警示作用 , 行业需要联合起来 , 积极投入系统的安全防御和检测 。 “有关部门、企业和公众对隐私问题越来越重视 , 但同时黑客通过窃取隐私获得的收益也越来越高 。 攻防不会因为难度增加和风险增大而停滞 , 我们必须持续重视安全问题 , 不仅从源头上减少漏洞的产生 , 开发者或者厂商也需要向用户告知 , 用户是否曾在网络安全上受到威胁 , 我觉得这个可能是需要大家再进一步行动的 。 ”
目前 , 京东安全方面表示 , 已经向Google和各大手机厂商提报漏洞并提出修复建议 , 并得到确认修复和致谢 , Google和各大厂商已经在当前最新版本补丁(9、10月份)的Android11和10月新发布的Android12中修复这些问题 。 京东安全也通过京东探索研究院信息安全实验室官方博客向全社会提供检测能力和SDK , 安卓用户可以下载检测工具 , 检测自己的手机是否存在魔形女漏洞的风险 。
推荐阅读
- 数字化|零售数字化转型显效 兴业银行手机银行接连获奖
- 于本|豆瓣 App 安卓新版本 7.20.0 测试
- 手机|一加10 Pro宣传视频曝光:将于1月11日14点发布
- 手机|黑莓宣布 1 月 4 日起将终止 BlackBerry OS 设备服务支持
- 手机|【直播纪要】VR/MR会吹响消费电子反攻的号角吗?| 见智研究
- 实力比|小米12对标苹果遭嘲讽?雷军:国产手机的实力比想象中强,有和苹果比较的勇气
- 尺寸|3199元起,小米12/12 Pro/12X手机今天晚上20点正式开售
- 能力|有了长续航的独立通信手表,就不必为出门没带手机而焦虑了
- OriginOS|当硬件驱动力逐渐放缓,手机还能更快吗?
- Apple|苹果希望手机/平板设备能正面为其他设备无线充电