10月26日,京东安全方面表示,今年上半年发现一个可能会影响全球8亿安卓用户的系统漏洞链,将其命名为魔形女漏洞。黑客可以利用此漏洞获取用户所有App的隐私数据和权限,例如窃取微信的聊天记录、支付宝记录等,而用户不会有任何感知。目前,该漏洞已向谷歌(Google)和各大手机厂商提报漏洞并提出修复建议。
据京东探索研究院信息安全实验室高级安全研究员Ricky介绍,魔形女漏洞命名源于漫威漫画中的魔形女(Mystique),Mystique可以变化伪装成他人的身份并潜入防卫严密的基地。与Mystique类似的是,黑客诱导用户下载安装恶意App(或直接将攻击代码嵌入正常App)后,可利用魔形女漏洞伪装成任意其他App,从而可自动启动对手机所有APP的监听和信息获取。
对安卓用户而言,该漏洞将对隐私造成什么影响?具体可能影响到哪些隐私数据?
“我理解安卓用户的隐私数据分为两种,一种是包括相册、通讯录在内的系统管理通用数据,另外一种是相当于存放在App内部的数据,比如微信聊天记录等……魔形女漏洞相当于把用户的隐私‘一网打尽’,拿走用户的哪些隐私数据完全取决于攻击者的目的”。Ricky说道。
他进一步举例说明,黑客可以利用该漏洞,获取用户所有App的隐私数据和权限,例如任意获取监听微信、Facebook、Telegram聊天记录,任意劫持支付宝、Gmail、公司内部工作应用等,而用户并不会有感知。
漏洞从何而来?京东安全方面介绍,安卓系统工程师在Android新版本开发过程中为了完成某种特性在产品设计中违反了最小权限的原则,导致原本严密的沙箱设计中出现了松动。可类比为酒店房间的门锁制造厂商在新产品生产过程中出现了失误,导致了一把新出现的钥匙拥有打开所有酒店门锁的权限。
Ricky表示,魔形女漏洞的发现对安全行业起到了警示作用,行业需要联合起来,积极投入系统的安全防御和检测。“有关部门、企业和公众对隐私问题越来越重视,但同时黑客通过窃取隐私获得的收益也越来越高。攻防不会因为因为难度增加和风险增大而停滞,我们必须持续重视安全问题,不仅从源头上减少漏洞的产生,开发者或者厂商也需要向用户告知,用户是否曾在网络安全上受到威胁,我觉得这个可能是需要大家再进一步行动的。”
目前,京东安全方面表示,已经向Google和各大手机厂商提报漏洞并提出修复建议,并得到确认修复和致谢,Google和各大厂商已经在当前最新版本补丁(9、10月份)的Android11和10月新发布的Android12中修复这些问题。京东安全也通过京东探索研究院信息安全实验室官方博客向全社会提供检测能力和SDK,安卓用户可以下载检测工具,检测自己的手机是否存在魔形女漏洞的风险。
另外,Ricky建议,用户可以尽快升级系统,关注安卓手机厂商的公告,也可以使用检测工具来检测自己是否曾经受到攻击。
首部专门针对电信诈骗的立法征求意见:预防为主,技术先行