近日,JD.COM研究院信息安全实验室研究团队发现了一个高风险的安卓11系统漏洞链。利用这个漏洞链,黑客可以在用户不知情的情况下获取用户手机中所有应用的隐私数据和权限,比如获取任何社交软件的聊天记录,任意劫持邮箱、内部通讯软件、支付软件等。
JD.COM研究院安全团队第一时间向相关企业提供漏洞信息并协助修复。目前已协助安卓系统和手机厂商修复漏洞,有效避免了对用户隐私和安全的威胁。相关公司发布漏洞补丁,公开感谢JD.COM研究院安全团队。
“黑客可以伪造任何流行的APP。用户下载APP后,恶意程序利用漏洞,自动启动对手机上所有APP的监控和信息获取。”根据这一特点,JD.COM研究院安全团队将其比作漫威漫画电影中可以化身为任何人的“魔女”。
黑客如何利用“魔女”漏洞获取隐私?JD.COM研究院信息安全实验室高级安全研究员瑞奇形象地打了个比方:“如果你把一部手机比作一家酒店,把每个APP比作不同的房间,掌握了这个漏洞就相当于拿到了酒店的万能钥匙,你可以随意进出任何房间。”
网络安全行业专家(大牛蛙、KEEN、GeekPwn创始人)王琦说:“魔女漏洞的特点是准杀人,利用漏洞不易被发现。”这为用户隐私保护敲响了警钟:
这次发现的“魔女”漏洞,展现了一条之前没有发现的新攻击路径。虽然安卓历史上出现过可以获取应用所有隐私数据和权限的用户端漏洞,但随着近年来安卓防御机制的增强,基本上没有类似控制能力的漏洞。
问题的根源在于安卓沙盒防御机制存在轻微缺陷,结合不同安卓手机原有的漏洞,最终形成威力巨大的“魔女”漏洞链。这个漏洞链颠覆了安卓系统的基本安全机制,也对手机用户的隐私保护提出了更长的链路要求。
那么,企业和网友如何保护自己呢?就个人用户而言,JD.COM研究院安全团队提供了“魔法少女漏洞”检测工具。用户可从JD.COM研究院信息安全实验室官方博客下载该工具,检测手机是否存在此类黑客攻击。一旦发现攻击,JD.COM研究院的安全专家建议用户立即升级系统,2021年9月新发布的安卓12和安卓11已经修复了“魔法少女”的漏洞。
对于企业来说,“魔女”漏洞很容易被黑灰企业和恶意商业实体利用,这就要求所有系统手机厂商引导用户及时升级并监控漏洞的利用情况。企业也可以通过实验室的官方博客下载工具,及时在APP中部署SDK工具,检测APP是否被劫持。一旦发现被劫持,会提示用户在相应的业务中做防御和升级。
作者:上海广播电台记者盛晨。
编辑:金小英。
编辑:陆宝。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/50115.html