官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近日,京东探索研究院信息安全实验室的研究团队发现一项高危Android 11系统漏洞链,利用该漏洞链,黑客可能在用户毫无感知的情况下,获取用户手机中所有APP的隐私数据和权限,如获取任一社交软件的聊天记录,任意劫持邮箱、公司内部沟通软件、支付软件等等。
京东探索研究院安全团队第一时间向Google等企业提供漏洞信息并协助修复,目前,已经协助Google、三星等安卓系统和手机厂商修复该漏洞,有效避免了用户隐私安全受到威胁。Google、三星等公司均已发布漏洞补丁,并向京东探索研究院安全团队公开致谢。
“黑客可以仿冒任意一个流行的APP,用户下载APP之后,恶意程序利用漏洞自动启动对手机所有APP的监听和信息获取。”根据这一特性,京东探索研究院安全团队将其形象地比作漫威电影中可以化身为任何人形象的“魔形女”。
黑客利用“魔形女”漏洞,是怎么获取隐私的呢?京东探索研究院信息安全实验室高级安全研究员Ricky形象地打了个比方:“如果把手机比作一个酒店,每个APP比作不同的房间,掌握了这个漏洞就相当于拿到了酒店的通用钥匙,可以随意进出任何一个房间。”
一、颠覆安卓系统基础安全机制,为用户隐私保护敲响警钟
根据网络安全行业专家王琦(大牛蛙,KEEN和GeekPwn创办人)所述:“魔形女漏洞的特点是准通杀,且漏洞利用不易被发现。”这为用户的隐私安全保护敲响了警钟:
本次发现的“魔形女”漏洞,展示了一个此前未曾被发现的新攻击路径,尽管安卓历史上也曾出现过能够获取所有APP隐私数据和权限的用户侧漏洞,但随着近年来安卓防御机制的增强,基本没有再出现过能有类似控制能力的漏洞。
而问题的源头,是安卓沙箱防御机制出现了微小缺陷,这个缺陷和不同型号安卓手机中原本存在的漏洞相结合,最终形成了拥有巨大威力的“魔形女”漏洞链。这个漏洞链颠覆了安卓系统基础的安全机制,也对手机用户的隐私保护提出了更长链路的要求。
二、企业和广大网民如何防护?使用工具检测安全并升级版本
对于个人用户而言,京东探索研究院安全团队提供了“魔形女漏洞”的检测工具,用户可以到京东探索研究院信息安全实验室的官方博客(https://dawnslab.jd.com/)下载该工具,检测自己的手机是否存在这类黑客攻击。一旦发现存在攻击,京东探索研究院安全专家建议用户立即升级系统,在Google在最新发布的系统版本Android 12中和2021年9月份安全补丁版本的Android 11中,已对“魔形女”漏洞进行了修复。
对于企业来说,“魔形女”漏洞极易被黑灰产和恶意商业实体利用,这需要各家系统手机厂商及时引导用户升级并监测漏洞的利用情况。企业同样可以通过实验室的官方博客下载工具,及时在APP中部署该SDK工具,检测APP是否被劫持。一旦发现被劫持,用户将被提示在相应的业务中做防御和升级处理。