安卓系统再现重大漏洞。利用这个漏洞,黑客可能在用户毫无感知的情况下,获取手机中所有APP 的隐私数据和权限,包括获取社交软件的聊天记录,劫持邮箱、公司内部沟通软件、支付软件等。
近日,这个漏洞被京东探索研究院信息安全实验室的研究团队发现。目前,该研究团队已经将此漏洞通报给安卓系统的开发者谷歌,并协助其修复。
有网络安全专家对《财经》E法表示,这一漏洞被补上将使安卓系统更安全。
安卓惊现“魔形女”
京东探索研究院信息安全实验室高级安全研究员Ricky告诉《财经》E法,在Android 11里被发现这个系统漏洞,实际是一个漏洞链,也就是由一个安卓的漏洞加上各个厂商自身的漏洞组合成的一个链条。
根据其特性,这一系统漏洞形象地被比作漫威电影中可以化身为任何人形象的“魔形女”。
“魔形女”的最大特点是可以获取系统和应用的任何权限。在正常状态中,无论是安卓系统还是IOS系统,A应用不能访问B应用的数据。但是“魔形女”突破了这个限制。如果有黑客利用这个漏洞链实施攻击,可以获取安卓系统内各应用的任意权限和本地数据。
据了解,安卓用户的隐私数据分为两种,第一种是照片、短信、通讯录等,这些是由系统管理;第二种是一些APP的购物记录、账号信息、聊天记录等,则存储在每个APP里。利用"魔形女"漏洞,黑客可以在用户毫无觉查的情况下,把上述数据“一网打尽”。甚至可能出现这样的场景:某个应用的开发者,利用这个漏洞攻击其他APP,窃取用户隐私。
此前,在“谷歌I/O 2021开发者大会”上,谷歌宣布,安卓操作系统已经在30亿台活跃设备上运行。因为拥有如此庞大的用户,任何一个重大漏洞都将对系统生态及用户隐私带来不可忽视的威胁。据不完全统计,目前在全球约有8亿用户使用Android 11。Ricky表示,“魔形女”可能是近五年以来影响规模最大的一个系统漏洞。
《财经》E法注意到,“魔形女”是一个新发现的漏洞类型。近十年来,知名度最高的一个漏洞是加密程序库OpenSSL的“心脏滴血”漏洞。利用该漏洞,黑客可以获取约30%的https开头网址的用户登录账号和密码,其中包括购物、网银、社交、门户等类型的知名网站。“魔形女”的危害性虽不及“心脏滴血”,但其特殊性在于,该漏洞展示了一个全新的攻击方式,打破了APP包安装后只读并被信任的默认假设,颠覆了安卓以往的安全机制。
Ricky对《财经》E法介绍,“魔形女”代码的提交者是一个刚毕业的谷歌工程师,这位工程师完全没有意识到自己破坏了安卓体系的安全性。用一个通俗的比喻来说,这个漏洞就好比一家门锁制造厂商为一家酒店的房间生产门锁,但过程中出现失误,导致一把钥匙具备了打开这家酒店所有房间门锁的权限。
Ricky告诉《财经》E法,京东在2021年4月-5月时发现“魔形女”漏洞,两个月后正式报告给谷歌。
漏洞已被修复
令人好奇的是,京东作为一家电商企业,何以能发现这个重大漏洞?
京东集团信息安全部高级总监周群对《财经》E法表示,2017年12月,京东建立了安全实验室,一直关注网络安全前沿技术,重点展开开源社区领域的研究。这个实验室每年都会取得新的进展,已经连续四年在世界信息安全行业的最高盛会——黑帽大会(blackhat)发布研究成果。另外,京东安全实验室还致力于与AI相关的安全研究,包括AI的黑产对抗等。京东的网络安全体系从过去的只关注自身的生产网和办公网,到现在同时关注仓配网、供应链、用户与客户体系以及生态体系。
据介绍,京东安全实验室凭借对安卓系统的深入了解,持续追踪安卓系统的每一次更新,因此得以注意到Android 11 引入新特性时的问题。“有这个发现之后,我们借助自研的自动化、半自动化漏洞挖掘框架,发现‘魔形女’会利用各个厂商自身的漏洞,组合一条漏洞链条,最终达到对任意应用和数据窃取的效果。”Ricky说。
周群表示,“京东也有自己的安卓端用户,体量非常大。如果在一些安全问题我们自己都没有发现,没有第一时间为业务体做保护,通知其他的厂商,这种风险很有可能被怀有恶意者利用,最终会变成对我们用户的一种伤害。”
“魔形女”的威胁如此严重,但绝大多数普通用户可能并不知情。对此,Ricky表示,普通用户可以通过升级至Android12避免遭受攻击,同时,安卓官方也会提示手机厂商升级系统。
《财经》E法注意到,谷歌在最新发布的Android 12和2021年9月发布的Android 11安全补丁,已对“魔形女”漏洞进行了修复。周群也提示安卓用户,京东探索研究院信息安全实验室官方博客向全社会提供检测工具和SDK(软件开发工具包),安卓用户可以下载检测工具,检测自己的手机是否存在“魔形女”风险。
国内顶尖信息安全团队碁震(KEEN)创办人王琦(大牛蛙)表示,“魔形女”的特点是影响面广,且漏洞利用不易被发现。安卓生态会因为这种“遗珠式”漏洞的修复,变得更加安全。
