JD.COM发现安卓存在高风险漏洞,发布检测工具,建议用户尽快升级系统。

近日,京东探索研究院信息安全实验室的研究团队发现一项高危Android 11系统漏洞链,利用该漏洞链,黑客可能在用户毫无感知的情况下,获取用户手机中所有APP的隐私数据和权限,如获取任一社交软件的聊天记录,任意劫持邮箱、公司内部沟通软件、支付软件等等。

近日,JD.COM研究院信息安全实验室研究团队发现了一个高风险的安卓11系统漏洞链。利用这个漏洞链,黑客可以在用户不知情的情况下获取用户手机中所有应用的隐私数据和权限,比如获取任何社交软件的聊天记录,任意劫持邮箱、内部通讯软件、支付软件等。

JD.COM研究院安全团队第一时间向相关企业提供漏洞信息并协助修复。目前已协助安卓系统和手机厂商修复漏洞,有效避免了对用户隐私和安全的威胁。相关公司发布漏洞补丁,公开感谢JD.COM研究院安全团队。

京东发现安卓系统高危漏洞,发布检测工具,并建议用户尽快升级系统

“黑客可以伪造任何流行的APP。用户下载APP后,恶意程序利用漏洞,自动启动对手机上所有APP的监控和信息获取。”根据这一特点,JD.COM研究院安全团队将其比作漫威漫画电影中可以化身为任何人的“魔女”。

黑客如何利用“魔女”漏洞获取隐私?JD.COM研究院信息安全实验室高级安全研究员瑞奇形象地打了个比方:“如果你把一部手机比作一家酒店,把每个APP比作不同的房间,掌握了这个漏洞就相当于拿到了酒店的万能钥匙,你可以随意进出任何房间。”

网络安全行业专家(大牛蛙、KEEN、GeekPwn创始人)王琦说:“魔女漏洞的特点是准杀人,利用漏洞不易被发现。”这为用户隐私保护敲响了警钟:

这次发现的“魔女”漏洞,展现了一条之前没有发现的新攻击路径。虽然安卓历史上出现过可以获取应用所有隐私数据和权限的用户端漏洞,但随着近年来安卓防御机制的增强,基本上没有类似控制能力的漏洞。

问题的根源在于安卓沙盒防御机制存在轻微缺陷,结合不同安卓手机原有的漏洞,最终形成威力巨大的“魔女”漏洞链。这个漏洞链颠覆了安卓系统的基本安全机制,也对手机用户的隐私保护提出了更长的链路要求。

京东发现安卓系统高危漏洞,发布检测工具,并建议用户尽快升级系统

那么,企业和网友如何保护自己呢?就个人用户而言,JD.COM研究院安全团队提供了“魔法少女漏洞”检测工具。用户可从JD.COM研究院信息安全实验室官方博客下载该工具,检测手机是否存在此类黑客攻击。一旦发现攻击,JD.COM研究院的安全专家建议用户立即升级系统,2021年9月新发布的安卓12和安卓11已经修复了“魔法少女”的漏洞。

对于企业来说,“魔女”漏洞很容易被黑灰企业和恶意商业实体利用,这就要求所有系统手机厂商引导用户及时升级并监控漏洞的利用情况。企业也可以通过实验室的官方博客下载工具,及时在APP中部署SDK工具,检测APP是否被劫持。一旦发现被劫持,会提示用户在相应的业务中做防御和升级。

作者:上海广播电台记者盛晨。

编辑:金小英。

编辑:陆宝。

京东发现安卓系统高危漏洞,发布检测工具,并建议用户尽快升级系统

内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/50115.html

(0)

相关推荐

  • 麦当劳挡不住美国餐饮价格上涨,港口拥堵依旧,供应链危机难以解决。

    最近一段时间,似乎任何事情都离不开两个字,那就是“涨价”。这一次涨价到底有多疯狂,从石油到牛奶再到蔬菜,就连牙膏、香皂都已经涨价了。疯狂的“涨价潮”最后还是蔓延到了餐饮行业,就连快餐界的巨头企业麦当劳都扛不住了,最近宣布了涨价的消息,星巴克紧随其后也宣布即将涨价。

    生活 2021年11月1日
  • 亚马逊童书榜单,世界十大经典童书是哪十本书

    从2021年第三季度全球新出版的虚构和非虚构类新书中,精选美国《纽约时报》《出版商周刊》、英国《书商》杂志、德国《明镜》周刊和《法兰克福汇报》、法国《图书周刊》及亚马逊网站等主流媒体关注度高、评分高和最畅销的好书予以盘点。

    生活 2021年10月22日
  • MIUI12.5隐私保护之愚见

    今天听到司马南关于未来战争中,特斯拉可能成为敌国武器的说法,文中提到甚至可以读取通讯录攻击指定人员,其通过软件植入远程指令通过车里的各种摄像头、传感器等,通过大数据和AI等各种技术组合,想想后脊梁发凉。联想到我使用的小米手机,现在已经出了某些功能,比如说虚拟ID,返回空位置,其实还有一个很重要的功能可以开发出来,就是“虚拟通讯录”,某些app要读取通讯录才能被使用,然后被各种诈骗,骚扰,广告轰炸等等。为了减少被骚扰、诈骗,咱就给一个虚拟的通讯录,这也是没办法的事。想想我们每天要收到多少骚扰甚至诈骗短信、电话,也许很多都不是我们自己泄漏的,可能是我们的老年亲人朋友的手机通信录被某些app爬取了而成为肉鸡。

    科技 2021年11月21日
  • Yubico以29美元的价格推出安全密钥C NFC加密狗。

    本月早些时候,Yubico 推出了 Yubikey Bio,提供了 USB-A/USB-C 连接,并具有指纹识别器,以增强安全性。虽然这款产品确实优秀,但是它的起售价格为 80 美元,对于很多消费者和企业来说太贵了。今天,Yubico 推出了一款更实惠的产品,只是没有花哨的生物识别技术。

    科技 2021年10月28日
  • 晒背补钙?这样晒太阳更高效

    文/羊城晚报记者 余燕红 通讯员 许咏怡

    生活 2021年9月28日