京东安全团队发现“魔形女”Android 11高危漏洞

近日，京东探索研究院信息安全实验室的研究团队发现一项高危Android 11系统漏洞链。利用该漏洞链，黑客可能在用户毫无感知的情况下，获取用户手机中所有App的隐私数据和权限，如获取任一社交软件的聊天记录，任意劫持邮箱、公司内部沟通软件、支付软件等。黑客可以仿冒任意一个流行的App，用户下载App之后，恶意程序利用漏洞自动启动对手机所有App的监听和信息获取。根据这一特性，京东探索研究院安全团队将其形象地比作“魔形女”。京东安全团队称，问题的源头是安卓沙箱防御机制出现了微小缺陷，这个缺陷和不同型号安卓手机中原本存在的漏洞相结合，最终形成了拥有巨大威力的“魔形女”漏洞链。目前，京东安全团队已经向谷歌等企业提供漏洞信息，并协助修复。谷歌、三星等公司均已发布漏洞补丁。