近日,京东探索研究院信息安全实验室的研究团队发现一项高危Android 11系统漏洞链,利用该漏洞链,黑客可能在用户毫无感知的情况下,获取用户手机中所有APP的隐私数据和权限,如获取任一社交软件的聊天记录,任意劫持邮箱、公司内部沟通软件、支付软件等等。
京东探索研究院安全团队第一时间向Google等企业提供漏洞信息并协助修复,目前,已经协助Google、三星等安卓系统和手机厂商修复该漏洞,有效避免了用户隐私安全受到威胁。Google、三星等公司均已发布漏洞补丁,并向京东探索研究院安全团队公开致谢。
“黑客可以仿冒任意一个流行的APP,用户下载APP之后,恶意程序利用漏洞自动启动对手机所有APP的监听和信息获取。”根据这一特性,京东探索研究院安全团队将其形象地比作漫威电影中可以化身为任何人形象的“魔形女”。
黑客利用“魔形女”漏洞,是怎么获取隐私的呢?京东探索研究院信息安全实验室高级安全研究员Ricky形象地打了个比方:“如果把手机比作一个酒店,每个APP比作不同的房间,掌握了这个漏洞就相当于拿到了酒店的万能钥匙,可以随意进出任何一个房间。”
颠覆安卓系统基础安全机制 为用户隐私保护敲响警钟 根据网络安全行业专家王琦(大牛蛙,KEEN和GeekPwn创办人)所述:“魔形女漏洞的特点是准通杀,且漏洞利用不易被发现。”这为用户的隐私安全保护敲响了警钟: 本次发现的“魔形女”漏洞,展示了一个此前未曾被发现的新攻击路径,尽管安卓历史上也曾出现过能够获取所有APP隐私数据和权限的用户侧漏洞,但随着近年来安卓防御机制的增强,基本没有再出现过能有类似控制能力的漏洞。 而问题的源头,是安卓沙箱防御机制出现了微小缺陷,这个缺陷和不同型号安卓手机中原本存在的漏洞相结合,最终形成了拥有巨大威力的“魔形女”漏洞链。这个漏洞链颠覆了安卓系统基础的安全机制,也对手机用户的隐私保护提出了更长链路的要求。 企业和广大网民如何防护? 使用工具检测安全并升级版本 对于个人用户而言,京东探索研究院安全团队提供了“魔形女漏洞”的检测工具,用户可以到京东探索研究院信息安全实验室的官方博客下载该工具,检测自己的手机是否存在这类黑客攻击。一旦发现存在攻击,京东探索研究院安全专家建议用户立即升级系统,在Google在最新发布的系统版本Android 12中和2021年9月份安全补丁版本的Android 11中,已对“魔形女”漏洞进行了修复。 对于企业来说,“魔形女”漏洞极易被黑灰产和恶意商业实体利用,这需要各家系统手机厂商及时引导用户升级并监测漏洞的利用情况。企业同样可以通过实验室的官方博客下载工具,及时在APP中部署该SDK工具,检测APP是否被劫持。一旦发现被劫持,用户将被提示在相应的业务中做防御和升级处理。 保护用户隐私安全背后的京东专家团与安全利器 京东为什么能发现这一隐蔽的高危漏洞呢?这是因为作为京东和京东用户的守护者,京东探索研究院安全团队有一支强大的技术团队。在日常工作中,他们除了研发各类安全工具、提升安全防护之外,还紧密跟踪先进技术成果并应用于攻防实战中。京东探索研究院信息安全实验室作为京东最具前瞻性的研究部门之一,专门研究最新的前沿攻防技术,为安全团队提供各类先进的安全利器。这次发现“魔形女”漏洞所运用漏洞挖掘框架就是其中之一。 这款综合性前沿漏洞挖掘工具,可对泛IoT设备/系统、APP等进行全面而深入的漏洞挖掘和隐私风险发现,从源头上及时发现并切断风险。在这个漏洞挖掘框架的帮助下,京东探索研究院信息安全实验室仅上半年就发现了十多个CVE(漏洞披露),并获得厂商公开致谢,有力维护了公众隐私安全和企业数据安全。 在手机系统不断迭代的今天,安全漏洞从未远去,反而因为其隐藏的巨大利益引来一些不法分子觊觎。在万物互联的环境中,面对信息安全问题没有企业和个人能够独善其身,“魔形女”漏洞的发现,引发各界对安全防护和用户隐私保护工作更多重视。京东希望能够与更多伙伴联合起来,共同投入到零信任安全基础设施建设中,防患于未然,更好地保护企业、生态伙伴的数据安全,共同捍卫用户隐私安全。