据悉,该漏洞的原理是,当Google Admin应用程序接收到一个URL,并且该URL是通过同一设备上任何其他应用的IPC调用接收时,Admin程序会将这个URL加载到它活动内的 Webview中。这时若攻击者使用一个file:// URL链接到他们所控制的文件,那么就可以使用符号链接绕过同源策略,并接收到Admin沙箱中的数据。简单来说,如果Google系统应用开启了特定URL地址,黑客很容易就能获取Google系统应用中的数据。
根据MWR实验室的说法,他们在今年3月就向Google报告了这个漏洞,Google则很快反馈说他们将在6月份发布针对该漏洞的补丁。然而,Google食言了,目前关于该漏洞的修复补丁仍不见踪影。如果你是安卓用户,尽量不要安装不可信的第三方App吧。
【推荐】用PConline官方客户端下载
相关阅读:
安卓M全名疑似曝光:不叫月饼叫棉花糖?
广场舞大妈的神器!全民广场舞App体验
95%安卓受影响!Google发布补丁修复漏洞
小巧强悍!手机系统信息查看工具DevCheck
1.《安卓又爆新漏洞!安卓0day漏洞可绕过沙箱》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《安卓又爆新漏洞!安卓0day漏洞可绕过沙箱》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/keji/2131302.html
