EZAPK

　　这可是头条消息了，关系到用户的隐私问题，艳照门不就是泄露事件吗？请各位同学仔细阅读完以下内容，用良好的习惯来封堵住该Android漏洞，防止自己的个人文件泄露给不怀好意的人。 　　Android系统在智能手机和平板机市场迅速崛起的同时，安全问题也更加引人注目，近日一个涉及到全版本Android系统的恶意漏洞被公布，而这一漏洞很可能就是Google延迟发布Android 2.3版系统的原因。

---

　　信息安全研究人员Thomas Cannon今天将这一漏洞公布于世，借助这个新的漏洞，恶意攻击者可以在引诱用户打开恶意网页，手机内置的浏览器就会下载并执行一个Javascript木马，该木马可以获取存储卡上指定的文件。 　　Thomas Cannon在几天前已经通知了Google，Android开发团队在20分钟内做出了回应，并表示已经针对该漏洞展示工作，将会在即将公布的Android 2.3版操作系统中进行修复。 　　但是这样的修复并不能拯救全部的Android设备，因为在2.3版系统发布之后只有少量机型能获取更新，数以千万计的Android设备要么不能更新2.3版系统，要么运行有厂商制作的自定用户界面系统，威胁仍会存在。Google应该做的是针对不同版本系统推出单独的浏览器升级或者修复补丁，才能将恶意网页木马拒之门外。 　　以下为Thomas Cannon公布的漏洞详情： 　　在一天晚上对Android系统进行应用程序安全评估的时候，Thomas Cannon发现了一个全版本普遍存在的漏洞，恶意网站将可以获取任何存储卡上存储的文件。 　　该漏洞的存在有多种因素，具体的实施过程为：

• Android内置浏览器不提示用户静默下载一个文件，比如“payload.html”，改文件会自动下载到 /sdcard/download/payload.html目录
• 通过Javascript运行该文件，并在Android浏览器中显示这个本地文件，运行过程没有任何提示
• 成功打开时候，Javascript将可以阅读任何本地文件内容和其他数据

　　一旦Javascript获取某个文件内容之后，木马将拥有自动发送的功能和权限，将获取的文件发送至指定位置。 　　目前该漏洞也存在的限制，攻击者必须指定要盗取的文件的路径和名称，比如要偷取用户的照片，就必须指定照片文件夹和文件名。不过这样的限制并不能困住攻击者，因为大部分的手机都会默认某一类文件的目录和存储名称，根本没有更改这些目录的习惯，攻击者只需要按照系统默认设置手动指定即可。 　　另外一个限制就是不能像ROOT浏览器那样访问Android系统内的受保护数据，只能在沙箱中运行，文件访问范围为存储卡或者其他少量数据。这样也减少了一部分担忧。但大多数用户的个人数据均是存储于存储卡的，因为这取决于Android系统本身的设计，就只能往存储卡读写个人数据。 　　目前大家能做的也就是不要用手机访问不明网站，还有拍照最好不要手机，否则又是一个个的艳照门事件，囧。