10月26日，京東安全方面表示，今年上半年發現一個可能會影響全球8億安卓用戶的系統漏洞鏈，將其命名為魔形女漏洞。黑客可以利用此漏洞獲取用戶所有App的隱私數據和權限，例如竊取微信的聊天記錄、支付寶記錄等，而用戶不會有任何感知。目前，該漏洞已向谷歌（Google）和各大手機廠商提報漏洞并提出修復建議。據京東探索研究院信息安全實驗室高級安全研究員Ricky介紹，魔形女漏洞命名源于漫威漫畫中的魔形女（Mystique），Mystique可以變化偽裝成他人的身份并潛入防衛嚴密的基地。與Mystique類似的是，黑客誘導用戶下載安裝惡意App（或直接將攻擊代碼嵌入正常App）后，可利用魔形女漏洞偽裝成任意其他App，從而可自動啟動對手機所有APP的監聽和信息獲取。對安卓用戶而言，該漏洞將對隱私造成什么影響？具體可能影響到哪些隱私數據？“我理解安卓用戶的隱私數據分為兩種，一種是包括相冊、通訊錄在內的系統管理通用數據，另外一種是相當于存放在App內部的數據，比如微信聊天記錄等……魔形女漏洞相當于把用戶的隱私‘一網打盡’，拿走用戶的哪些隱私數據完全取決于攻擊者的目的”。 Ricky說道。他進一步舉例說明，黑客可以利用該漏洞，獲取用戶所有App的隱私數據和權限，例如任意獲取監聽微信、Facebook、Telegram聊天記錄，任意劫持支付寶、Gmail、公司內部工作應用等，而用戶并不會有感知。漏洞從何而來？京東安全方面介紹，安卓系統工程師在Android新版本開發過程中為了完成某種特性在產品設計中違反了最小權限的原則，導致原本嚴密的沙箱設計中出現了松動。可類比為酒店房間的門鎖制造廠商在新產品生產過程中出現了失誤，導致了一把新出現的鑰匙擁有打開所有酒店門鎖的權限。Ricky表示，魔形女漏洞的發現對安全行業起到了警示作用，行業需要聯合起來，積極投入系統的安全防御和檢測。“有關部門、企業和公眾對隱私問題越來越重視，但同時黑客通過竊取隱私獲得的收益也越來越高。攻防不會因為難度增加和風險增大而停滯，我們必須持續重視安全問題，不僅從源頭上減少漏洞的產生，開發者或者廠商也需要向用戶告知，用戶是否曾在網絡安全上受到威脅，我覺得這個可能是需要大家再進一步行動的。”目前，京東安全方面表示，已經向Google和各大手機廠商提報漏洞并提出修復建議，并得到確認修復和致謝，Google和各大廠商已經在當前最新版本補丁（9、10月份）的Android11和10月新發布的Android12中修復這些問題。京東安全也通過京東探索研究院信息安全實驗室官方博客向全社會提供檢測能力和SDK，安卓用戶可以下載檢測工具，檢測自己的手機是否存在魔形女漏洞的風險。另外，Ricky建議，用戶可以盡快升級系統，關注安卓手機廠商的公告，也可以使用檢測工具來檢測自己是否曾經受到攻擊。采寫：南都記者 孫朝