谷歌無奈!安卓重大系統漏洞曝光:各大手機廠商紛紛中招
早年間,和iOS相比,安卓的一大劣勢就是安全性。由於開放的特性,早期的安卓系統上很多第三方應用會肆無忌憚地濫用各種許可權,竊取使用者隱私、劣化手機的使用體驗。但最近幾年,谷歌加大了整治力度,對安卓許可權管理愈發嚴格了起來。
近日, Magisk的開發者topjohnwu在XDA上發帖稱,他發現現在有很多安卓手機上存在系統漏洞 ,導致第三方應用可以繞過使用者授權去監視其他應用的程序,如果濫用的話可能或竊取使用者的隱私。
具體來說,在基於Unix的作業系統上,第三方應用可以通過procfs檔案系統去檢視其他應用和服務的執行狀態,安卓自然也不例外。但從安卓7.0開始,出於安全性考慮,谷歌鎖定了對procfs的訪問許可權。
如果第三方應用想要檢視其他應用的程序的話,需要通過UsageStats或AccessibilityService API。但使用這些介面的話,需要得到使用者的許可。谷歌這麼做,等於給原先的功能上了一道鎖,並把鑰匙交給了使用者。
但是, 雖然谷歌自家的裝置嚴格遵循了這個一規範,但很多安卓廠商都沒有即時跟進, 大量搭載安卓8.0、9.0的手機都沒有鎖定procfs檔案系統。這樣一來,第三方應用還是可以繞過使用者授權去訪問其他應用的資訊。
topjohnwu調查統計後發現,除了谷歌,手機即時鎖定procfs的廠商寥寥無幾,只有三星、摩托羅拉和索尼,其他安卓廠商紛紛中招。
不過,需要說明的是,這個漏洞的危害性沒有特別大,第三方開發者利用它能產生的危害還是很有限的,大家不用過分恐慌。部分第三方應用利用這個漏洞也未必是故意的,可能是開發者沒有注意到了這個問題。
但說到底,這項漏洞還是反映出安卓生態環境中存在的碎片化問題,即使系統版本跟上了,可能安全性也沒跟上。作為一款開放系統,在安卓上谷歌更多起到的是主導和示範的作用,但不能強制要求第三方廠商做出改變。