谷歌無奈！安卓重大系統漏洞曝光：各大手機廠商紛紛中招

早年間，和iOS相比，安卓的一大劣勢就是安全性。由於開放的特性，早期的安卓系統上很多第三方應用會肆無忌憚地濫用各種許可權，竊取使用者隱私、劣化手機的使用體驗。但最近幾年，谷歌加大了整治力度，對安卓許可權管理愈發嚴格了起來。

近日， Magisk的開發者topjohnwu在XDA上發帖稱，他發現現在有很多安卓手機上存在系統漏洞 ，導致第三方應用可以繞過使用者授權去監視其他應用的程序，如果濫用的話可能或竊取使用者的隱私。

具體來說，在基於Unix的作業系統上，第三方應用可以通過procfs檔案系統去檢視其他應用和服務的執行狀態，安卓自然也不例外。但從安卓7.0開始，出於安全性考慮，谷歌鎖定了對procfs的訪問許可權。

如果第三方應用想要檢視其他應用的程序的話，需要通過UsageStats或AccessibilityService API。但使用這些介面的話，需要得到使用者的許可。谷歌這麼做，等於給原先的功能上了一道鎖，並把鑰匙交給了使用者。

但是， 雖然谷歌自家的裝置嚴格遵循了這個一規範，但很多安卓廠商都沒有即時跟進， 大量搭載安卓8.0、9.0的手機都沒有鎖定procfs檔案系統。這樣一來，第三方應用還是可以繞過使用者授權去訪問其他應用的資訊。

topjohnwu調查統計後發現，除了谷歌，手機即時鎖定procfs的廠商寥寥無幾，只有三星、摩托羅拉和索尼，其他安卓廠商紛紛中招。

不過，需要說明的是，這個漏洞的危害性沒有特別大，第三方開發者利用它能產生的危害還是很有限的，大家不用過分恐慌。部分第三方應用利用這個漏洞也未必是故意的，可能是開發者沒有注意到了這個問題。

但說到底，這項漏洞還是反映出安卓生態環境中存在的碎片化問題，即使系統版本跟上了，可能安全性也沒跟上。作為一款開放系統，在安卓上谷歌更多起到的是主導和示範的作用，但不能強制要求第三方廠商做出改變。