据介绍,利用该漏洞链,黑客可能在用户毫无感知的情况下,获取用户手机中所有 App 的隐私数据和权限,如获取任一社交软件的聊天记录,任意劫持邮箱、公司内部沟通软件、支付软件等。
“黑客可以仿冒任意一个流行的 App,用户下载 App 之后,恶意程序利用漏洞自动启动对手机所有 App 的监听和信息获取。”根据这一特性,京东探索研究院安全团队将其形象地比作漫威电影中可以化身为任何人形象的“魔形女”。
安全团队还称,问题的源头,是安卓沙箱防御机制出现了微小缺陷,这个缺陷和不同型号安卓手机中原本存在的漏洞相结合,最终形成了拥有巨大威力的“魔形女”漏洞链。
IT之家了解到,据报道,目前,京东安全团队已经向谷歌等企业提供漏洞信息,并协助修复。谷歌、三星等公司均已发布漏洞补丁。
