10月26日，京東安全方面表示，今年上半年發(fā)現(xiàn)一個可能會影響全球8億安卓用戶的系統(tǒng)漏洞鏈，將其命名為魔形女漏洞。黑客可以利用此漏洞獲取用戶所有App的隱私數(shù)據(jù)和權(quán)限，例如竊取微信的聊天記錄、支付寶記錄等，而用戶不會有任何感知。目前，該漏洞已向谷歌（Google）和各大手機(jī)廠商提報(bào)漏洞并提出修復(fù)建議。

　　據(jù)京東探索研究院信息安全實(shí)驗(yàn)室高級安全研究員Ricky介紹，魔形女漏洞命名源于漫威漫畫中的魔形女（Mystique），Mystique可以變化偽裝成他人的身份并潛入防衛(wèi)嚴(yán)密的基地。與Mystique類似的是，黑客誘導(dǎo)用戶下載安裝惡意App（或直接將攻擊代碼嵌入正常App）后，可利用魔形女漏洞偽裝成任意其他App，從而可自動啟動對手機(jī)所有APP的監(jiān)聽和信息獲取。

　　對安卓用戶而言，該漏洞將對隱私造成什么影響？具體可能影響到哪些隱私數(shù)據(jù)？

　　“我理解安卓用戶的隱私數(shù)據(jù)分為兩種，一種是包括相冊、通訊錄在內(nèi)的系統(tǒng)管理通用數(shù)據(jù)，另外一種是相當(dāng)于存放在App內(nèi)部的數(shù)據(jù)，比如微信聊天記錄等……魔形女漏洞相當(dāng)于把用戶的隱私‘一網(wǎng)打盡’，拿走用戶的哪些隱私數(shù)據(jù)完全取決于攻擊者的目的”。Ricky說道。

　　他進(jìn)一步舉例說明，黑客可以利用該漏洞，獲取用戶所有App的隱私數(shù)據(jù)和權(quán)限，例如任意獲取監(jiān)聽微信、Facebook、Telegram聊天記錄，任意劫持支付寶、Gmail、公司內(nèi)部工作應(yīng)用等，而用戶并不會有感知。

　　漏洞從何而來？京東安全方面介紹，安卓系統(tǒng)工程師在Android新版本開發(fā)過程中為了完成某種特性在產(chǎn)品設(shè)計(jì)中違反了最小權(quán)限的原則，導(dǎo)致原本嚴(yán)密的沙箱設(shè)計(jì)中出現(xiàn)了松動?？深惐葹榫频攴块g的門鎖制造廠商在新產(chǎn)品生產(chǎn)過程中出現(xiàn)了失誤，導(dǎo)致了一把新出現(xiàn)的鑰匙擁有打開所有酒店門鎖的權(quán)限。

　　Ricky表示，魔形女漏洞的發(fā)現(xiàn)對安全行業(yè)起到了警示作用，行業(yè)需要聯(lián)合起來，積極投入系統(tǒng)的安全防御和檢測。“有關(guān)部門、企業(yè)和公眾對隱私問題越來越重視，但同時黑客通過竊取隱私獲得的收益也越來越高。攻防不會因?yàn)橐驗(yàn)殡y度增加和風(fēng)險(xiǎn)增大而停滯，我們必須持續(xù)重視安全問題，不僅從源頭上減少漏洞的產(chǎn)生，開發(fā)者或者廠商也需要向用戶告知，用戶是否曾在網(wǎng)絡(luò)安全上受到威脅，我覺得這個可能是需要大家再進(jìn)一步行動的?！?/p>

　　目前，京東安全方面表示，已經(jīng)向Google和各大手機(jī)廠商提報(bào)漏洞并提出修復(fù)建議，并得到確認(rèn)修復(fù)和致謝，Google和各大廠商已經(jīng)在當(dāng)前最新版本補(bǔ)丁（9、10月份）的Android11和10月新發(fā)布的Android12中修復(fù)這些問題。京東安全也通過京東探索研究院信息安全實(shí)驗(yàn)室官方博客向全社會提供檢測能力和SDK，安卓用戶可以下載檢測工具，檢測自己的手機(jī)是否存在魔形女漏洞的風(fēng)險(xiǎn)。

　　另外，Ricky建議，用戶可以盡快升級系統(tǒng)，關(guān)注安卓手機(jī)廠商的公告，也可以使用檢測工具來檢測自己是否曾經(jīng)受到攻擊。