10月26日,京東安全方面表示,今年上半年發現一個可能會影響全球8億安卓使用者的系統漏洞鍊,将其命名為魔形女漏洞。黑客可以利用此漏洞擷取使用者所有App的隐私資料和權限,例如竊取微信的聊天記錄、支付寶記錄等,而使用者不會有任何感覺。目前,該漏洞已向谷歌(Google)和各大手機廠商提報漏洞并提出修複建議。據京東探索研究院資訊安全實驗室進階安全研究員Ricky介紹,魔形女漏洞命名源于漫威漫畫中的魔形女(Mystique),Mystique可以變化僞裝成他人的身份并潛入防衛嚴密的基地。與Mystique類似的是,黑客誘導使用者下載下傳安裝惡意App(或直接将攻擊代碼嵌入正常App)後,可利用魔形女漏洞僞裝成任意其他App,進而可自動啟動對手機所有APP的監聽和資訊擷取。對安卓使用者而言,該漏洞将對隐私造成什麼影響?具體可能影響到哪些隐私資料?“我了解安卓使用者的隐私資料分為兩種,一種是包括相冊、通訊錄在内的系統管理通用資料,另外一種是相當于存放在App内部的資料,比如微信聊天記錄等……魔形女漏洞相當于把使用者的隐私‘一網打盡’,拿走使用者的哪些隐私資料完全取決于攻擊者的目的”。 Ricky說道。他進一步舉例說明,黑客可以利用該漏洞,擷取使用者所有App的隐私資料和權限,例如任意擷取監聽微信、Facebook、Telegram聊天記錄,任意劫持支付寶、Gmail、公司内部工作應用等,而使用者并不會有感覺。漏洞從何而來?京東安全方面介紹,安卓系統工程師在Android新版本開發過程中為了完成某種特性在産品設計中違反了最小權限的原則,導緻原本嚴密的沙箱設計中出現了松動。可類比為酒店房間的門鎖制造廠商在新産品生産過程中出現了失誤,導緻了一把新出現的鑰匙擁有打開所有酒店門鎖的權限。Ricky表示,魔形女漏洞的發現對安全行業起到了警示作用,行業需要聯合起來,積極投入系統的安全防禦和檢測。“有關部門、企業和公衆對隐私問題越來越重視,但同時黑客通過竊取隐私獲得的收益也越來越高。攻防不會因為難度增加和風險增大而停滞,我們必須持續重視安全問題,不僅從源頭上減少漏洞的産生,開發者或者廠商也需要向使用者告知,使用者是否曾在網絡安全上受到威脅,我覺得這個可能是需要大家再進一步行動的。”目前,京東安全方面表示,已經向Google和各大手機廠商提報漏洞并提出修複建議,并得到确認修複和緻謝,Google和各大廠商已經在目前最新版本更新檔(9、10月份)的Android11和10月新釋出的Android12中修複這些問題。京東安全也通過京東探索研究院資訊安全實驗室官方部落格向全社會提供檢測能力和SDK,安卓使用者可以下載下傳檢測工具,檢測自己的手機是否存在魔形女漏洞的風險。另外,Ricky建議,使用者可以盡快更新系統,關注安卓手機廠商的公告,也可以使用檢測工具來檢測自己是否曾經受到攻擊。采寫:南都記者 孫朝
![2025年3月國補再加碼,手機國補政策彙總,蘋果16手機國補疊加京東優惠價格破新低![圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)