Android新漏洞或從用戶SD卡中竊取數(shù)據(jù)

????據(jù)國(guó)外媒體報(bào)道，谷歌正在加緊發(fā)布一個(gè)針對(duì)零日漏洞的補(bǔ)丁，該漏洞可以使黑客從Android用戶的SD卡中竊取數(shù)據(jù)。安全研究人員Thomas Cannon發(fā)現(xiàn)了這個(gè)漏洞并在其博客中透露更多細(xì)節(jié)之前，將該漏洞上報(bào)給谷歌。

????當(dāng)用戶訪問(wèn)一個(gè)特殊的崩潰惡意站點(diǎn)時(shí)，該漏洞才會(huì)被利用。黑客需要知道他們想要竊取的文件的名字和路徑。然而，許多應(yīng)用在SD卡上以固定的名字來(lái)保存數(shù)據(jù)。

????該漏洞沒(méi)有截取超級(jí)管理員權(quán)限，意味著它在Android沙箱中運(yùn)行，不會(huì)取得系統(tǒng)中的所有文件，只會(huì)取得SD卡中和其他的少量文件。導(dǎo)致該漏洞產(chǎn)生的因素有很多，特別是Android瀏覽器運(yùn)行JavaScript時(shí)，如果一個(gè)文件被打開(kāi)，用戶并不會(huì)獲得提示。

????谷歌正在快速跟蹤這個(gè)問(wèn)題，開(kāi)發(fā)Android瀏覽器補(bǔ)丁，允許在一些特定的條件下來(lái)訪問(wèn)用戶SD卡中的文件。谷歌承諾將向合作伙伴提供該補(bǔ)丁，并且會(huì)發(fā)布到Android社區(qū)當(dāng)中。