北京
Android的安全沙盒机制,本意是把你手机里的App关进各自的"单间"。但微软安全团队最近发现,一个叫EngageLab的SDK给这些单间开了扇暗门——5000万台设备因此裸奔了半年多。
漏洞藏在4.5.4版本里,今年4月被发现,11月才补上。问题是这SDK太受欢迎,推送通知、应用内消息这些标配功能都靠它实现。微软没点名具体哪些App中招,但透露了一个扎心的比例:3000万下载量来自加密货币应用。
「这个缺陷允许同一设备上的App绕过Android安全沙盒,未经授权访问私人数据。」微软在报告里写得克制,但翻译成人话就是:你手机里的恶意App可以假装成正经App,去翻你的相册、读你的剪贴板、甚至偷你的私钥。
好消息是微软没发现这漏洞被野外利用的证据。坏消息是,那些已经卸载的App、或者还在用旧版本的用户,可能根本不知道自己曾经门户大开。Google Play已经下架了所有带毒版本,但第三方应用市场呢?没人能保证。
EngageLab在5.2.1版本修好了这扇门。不过微软的潜台词很明显:一个SDK的失误,让半个亿用户的 credentials 和 financial data 暴露在风险里——而大部分用户甚至不知道这个SDK存在过。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
