Android 9.0 Pie以下版本存新漏洞CVE-2018-9489 恶意APP可绕过防护追踪设备
不少老安卓用户可能还没在意,你的旧手机其实藏着不小的隐私安全隐患。就在前几年,谷歌公开了一个存在于Android 9.0 Pie以下版本的安全漏洞,编号CVE-2018-9489,这个漏洞能让恶意应用轻松绕过系统防护,偷偷追踪你的设备一举一动。
可能有人会问,不就是个几年前的漏洞至于这么紧张吗?要知道,直到现在国内还有大量用户在用Android 8甚至更早版本的安卓系统。很多厂商给两三年前的机型停更了安全补丁,这些旧手机就一直带着这个漏洞用,一直暴露在风险里。
先给大家讲明白这个漏洞到底是怎么回事。安卓系统本身为了保护用户隐私,对应用获取设备位置信息、WiFi状态这些敏感权限做了严格限制。正常来说,普通应用如果想要获取你的WiFi扫描信息,用来定位或者追踪设备,必须要拿到用户明确授予的位置权限才行,而且只有应用在前台运行的时候才能调用相关接口。
这个漏洞坏就坏在,它攻破了这套权限校验机制。恶意应用不需要拿到位置权限,甚至不需要你打开它,就能一直悄悄调用WiFi扫描接口,拿到你周围所有WiFi的信息,包括每个WiFi的MAC地址、信号强度这些数据。
拿到这些数据能干什么?其实现在很多线下商家、广告联盟,就是靠收集周围WiFi信息来做用户追踪的。不同位置的WiFi组合就相当于你的位置「指纹」,恶意APP把这些数据传到后台,就能精准定位你每天去过哪些地方,几点出门几点回家,甚至连你常去的咖啡店、公司地址都能摸得一清二楚。
更可怕的是,因为漏洞的存在,整个追踪过程完全不用你授权,你也看不到任何提示。恶意APP躲在后台偷偷跑,你根本察觉不到,还以为自己没给位置权限就没事了。
有安全研究人员做过测试,只要是没打补丁的Android 5到Android 8系统,都能成功触发这个漏洞。哪怕你把所有权限都给禁了,恶意APP依然能获取到WiFi扫描结果。也就是说,系统原本的隐私防护等于直接被绕过去了,完全起不到作用。
可能有人会说,我从来不会下载乱七八糟的应用,肯定不会中招。这话其实不对,很多恶意应用现在会藏在一些看起来正规的第三方应用市场,甚至会打包进一些热门工具、小游戏的安装包里面。你不小心下到一个带恶意代码的APP,它就能偷偷启动扫描,把你的位置信息源源不断传出去。
这些收集到的位置数据,最后大多会卖给广告商做精准投放,或者被不法分子用来做更危险的诈骗、跟踪。想想看,你每天的出行轨迹全被陌生人掌握了,这可不是小事。
谷歌其实在2018年的8月就发布了这个漏洞的安全补丁,修复是做在了Android 9.0 Pie里面,同时也给支持升级的旧版本推了补丁。问题是,国内很多安卓机型根本没跟上这个补丁更新。
很多国产手机厂商,一般对上市超过两年的机型就停止系统更新了,更别说安全补丁了。不少用户手里的手机,买来就是Android 8,用了三四年从来没收到过安全更新,这个漏洞就一直留在系统里。据之前的统计,漏洞公布之后两年,国内还有超过四成的安卓设备是没修复这个漏洞的,这个比例放到现在其实也不算低,毕竟很多人一部手机用四五年很常见。
那普通用户该怎么保护自己呢?首先,如果你用的手机还能升级到Android 9.0或者更高版本,尽量升级系统,官方推的更新一定要更,大多数安全补丁都会随着系统更新推给你。
如果你的手机已经没办法升级系统了,厂商也停更了,那就要多注意自己下载应用的渠道。尽量只从手机自带的官方应用商店下载软件,不要随便从第三方网站、不知名论坛下安装包,更不要随便装别人发来的apk文件,这能帮你挡住绝大多数恶意应用。
另外,平时多看看后台的应用耗电情况,如果有某个你很少打开的应用,莫名其妙耗电量特别高,那就要小心了,很可能是它在后台偷偷运行做扫描。这种直接卸载掉就好。
还有人会问,我不开WiFi是不是就没事了?其实不是,哪怕你关掉了WiFi连接,只要WiFi开关没彻底关掉,恶意APP依然能触发扫描拿到数据。所以不用WiFi的时候,尽量把WiFi开关也关掉,能减少一点风险。
其实这件事也给大家提了个醒,旧手机的安全问题真的不能忽视。很多人觉得手机能打电话能上网就接着用,可系统停更之后,各种漏洞没人修,很容易被恶意应用钻空子。如果你的手机已经太老,确实得不到任何安全更新了,其实换个新手机才是最稳妥的办法,毕竟隐私安全比省那点钱重要多了。
这个漏洞其实也不是什么新型攻击手段,它就是利用了系统权限校验逻辑的一个小缺陷,偏偏就是这个小缺陷,影响了几千万甚至上亿的旧安卓设备。很多时候就是这种不起眼的漏洞,反而成了隐私泄露的重灾区,毕竟大家都想不到,系统最基础的权限防护,居然能这么容易就被绕过去。
总之,如果你现在还在用Android 9之前的安卓系统,别觉得这事和你没关系,多检查检查自己的应用,能更系统就更系统,不能更就管好自己的安装来源,别给恶意APP可乘之机。
CVE-2018-9489,Android漏洞,安卓隐私漏洞,恶意APP追踪,安卓设备漏洞,Android 9.0以下漏洞,安卓权限绕过,WiFi信息泄露,安卓安全漏洞,隐私追踪
[Q]:CVE-2018-9489漏洞影响哪些安卓版本?
[A]:该漏洞影响Android 9.0 Pie及以下版本的安卓系统,Android 5到Android 8的未打补丁设备都可以被成功利用。
[Q]:这个漏洞能让恶意APP做什么?
[A]:恶意APP可以绕过系统的权限防护机制,不需要获取用户授予的位置权限,就能偷偷获取周围WiFi信息,实现对设备位置的持续追踪,窃取用户出行轨迹。
[Q]:为什么这么多旧设备至今还存在这个漏洞?
[A]:谷歌在2018年就推出了漏洞补丁,但很多手机厂商会对上市超过两年的旧机型停止系统和安全补丁更新,大量未升级的旧手机就一直带着漏洞正常使用。
[Q]:普通用户不下载冷门APP会不会中招?
[A]:依然有风险,目前很多恶意应用会伪装成热门工具、小游戏,藏在第三方应用市场中,用户不小心下载后就会被植入恶意代码。
[Q]:不开WiFi能不能避免这个漏洞被利用?
[A]:不行,只要WiFi开关没有彻底关闭,哪怕你没有连接任何WiFi,恶意APP依然可以触发扫描获取WiFi相关数据,不用WiFi时关闭WiFi开关能降低风险。
[Q]:谷歌什么时候修复的这个漏洞?
[A]:谷歌在2018年8月就发布了该漏洞的安全补丁,正式将修复整合进了Android 9.0 Pie系统,同时也推送给了支持升级的符合条件的旧版本设备。
[Q]:手机已经没法升级系统了该怎么防护?
[A]:尽量只从官方应用商店下载应用,不要安装来路不明的安装包;平时查看后台耗电,如果发现不常用应用异常耗电及时卸载;不用WiFi时关闭WiFi开关,降低被追踪的可能。
[Q]:窃取到的WiFi信息一般被用来做什么?
[A]:这些信息大多被用来生成用户位置「指纹」,卖给广告商做精准广告投放,也可能被不法分子利用进行诈骗或者恶意跟踪,危害用户隐私和人身财产安全。
可能有人会问,不就是个几年前的漏洞至于这么紧张吗?要知道,直到现在国内还有大量用户在用Android 8甚至更早版本的安卓系统。很多厂商给两三年前的机型停更了安全补丁,这些旧手机就一直带着这个漏洞用,一直暴露在风险里。
先给大家讲明白这个漏洞到底是怎么回事。安卓系统本身为了保护用户隐私,对应用获取设备位置信息、WiFi状态这些敏感权限做了严格限制。正常来说,普通应用如果想要获取你的WiFi扫描信息,用来定位或者追踪设备,必须要拿到用户明确授予的位置权限才行,而且只有应用在前台运行的时候才能调用相关接口。
这个漏洞坏就坏在,它攻破了这套权限校验机制。恶意应用不需要拿到位置权限,甚至不需要你打开它,就能一直悄悄调用WiFi扫描接口,拿到你周围所有WiFi的信息,包括每个WiFi的MAC地址、信号强度这些数据。
拿到这些数据能干什么?其实现在很多线下商家、广告联盟,就是靠收集周围WiFi信息来做用户追踪的。不同位置的WiFi组合就相当于你的位置「指纹」,恶意APP把这些数据传到后台,就能精准定位你每天去过哪些地方,几点出门几点回家,甚至连你常去的咖啡店、公司地址都能摸得一清二楚。
更可怕的是,因为漏洞的存在,整个追踪过程完全不用你授权,你也看不到任何提示。恶意APP躲在后台偷偷跑,你根本察觉不到,还以为自己没给位置权限就没事了。
有安全研究人员做过测试,只要是没打补丁的Android 5到Android 8系统,都能成功触发这个漏洞。哪怕你把所有权限都给禁了,恶意APP依然能获取到WiFi扫描结果。也就是说,系统原本的隐私防护等于直接被绕过去了,完全起不到作用。
可能有人会说,我从来不会下载乱七八糟的应用,肯定不会中招。这话其实不对,很多恶意应用现在会藏在一些看起来正规的第三方应用市场,甚至会打包进一些热门工具、小游戏的安装包里面。你不小心下到一个带恶意代码的APP,它就能偷偷启动扫描,把你的位置信息源源不断传出去。
这些收集到的位置数据,最后大多会卖给广告商做精准投放,或者被不法分子用来做更危险的诈骗、跟踪。想想看,你每天的出行轨迹全被陌生人掌握了,这可不是小事。
谷歌其实在2018年的8月就发布了这个漏洞的安全补丁,修复是做在了Android 9.0 Pie里面,同时也给支持升级的旧版本推了补丁。问题是,国内很多安卓机型根本没跟上这个补丁更新。
很多国产手机厂商,一般对上市超过两年的机型就停止系统更新了,更别说安全补丁了。不少用户手里的手机,买来就是Android 8,用了三四年从来没收到过安全更新,这个漏洞就一直留在系统里。据之前的统计,漏洞公布之后两年,国内还有超过四成的安卓设备是没修复这个漏洞的,这个比例放到现在其实也不算低,毕竟很多人一部手机用四五年很常见。
那普通用户该怎么保护自己呢?首先,如果你用的手机还能升级到Android 9.0或者更高版本,尽量升级系统,官方推的更新一定要更,大多数安全补丁都会随着系统更新推给你。
如果你的手机已经没办法升级系统了,厂商也停更了,那就要多注意自己下载应用的渠道。尽量只从手机自带的官方应用商店下载软件,不要随便从第三方网站、不知名论坛下安装包,更不要随便装别人发来的apk文件,这能帮你挡住绝大多数恶意应用。
另外,平时多看看后台的应用耗电情况,如果有某个你很少打开的应用,莫名其妙耗电量特别高,那就要小心了,很可能是它在后台偷偷运行做扫描。这种直接卸载掉就好。
还有人会问,我不开WiFi是不是就没事了?其实不是,哪怕你关掉了WiFi连接,只要WiFi开关没彻底关掉,恶意APP依然能触发扫描拿到数据。所以不用WiFi的时候,尽量把WiFi开关也关掉,能减少一点风险。
其实这件事也给大家提了个醒,旧手机的安全问题真的不能忽视。很多人觉得手机能打电话能上网就接着用,可系统停更之后,各种漏洞没人修,很容易被恶意应用钻空子。如果你的手机已经太老,确实得不到任何安全更新了,其实换个新手机才是最稳妥的办法,毕竟隐私安全比省那点钱重要多了。
这个漏洞其实也不是什么新型攻击手段,它就是利用了系统权限校验逻辑的一个小缺陷,偏偏就是这个小缺陷,影响了几千万甚至上亿的旧安卓设备。很多时候就是这种不起眼的漏洞,反而成了隐私泄露的重灾区,毕竟大家都想不到,系统最基础的权限防护,居然能这么容易就被绕过去。
总之,如果你现在还在用Android 9之前的安卓系统,别觉得这事和你没关系,多检查检查自己的应用,能更系统就更系统,不能更就管好自己的安装来源,别给恶意APP可乘之机。
CVE-2018-9489,Android漏洞,安卓隐私漏洞,恶意APP追踪,安卓设备漏洞,Android 9.0以下漏洞,安卓权限绕过,WiFi信息泄露,安卓安全漏洞,隐私追踪
[Q]:CVE-2018-9489漏洞影响哪些安卓版本?
[A]:该漏洞影响Android 9.0 Pie及以下版本的安卓系统,Android 5到Android 8的未打补丁设备都可以被成功利用。
[Q]:这个漏洞能让恶意APP做什么?
[A]:恶意APP可以绕过系统的权限防护机制,不需要获取用户授予的位置权限,就能偷偷获取周围WiFi信息,实现对设备位置的持续追踪,窃取用户出行轨迹。
[Q]:为什么这么多旧设备至今还存在这个漏洞?
[A]:谷歌在2018年就推出了漏洞补丁,但很多手机厂商会对上市超过两年的旧机型停止系统和安全补丁更新,大量未升级的旧手机就一直带着漏洞正常使用。
[Q]:普通用户不下载冷门APP会不会中招?
[A]:依然有风险,目前很多恶意应用会伪装成热门工具、小游戏,藏在第三方应用市场中,用户不小心下载后就会被植入恶意代码。
[Q]:不开WiFi能不能避免这个漏洞被利用?
[A]:不行,只要WiFi开关没有彻底关闭,哪怕你没有连接任何WiFi,恶意APP依然可以触发扫描获取WiFi相关数据,不用WiFi时关闭WiFi开关能降低风险。
[Q]:谷歌什么时候修复的这个漏洞?
[A]:谷歌在2018年8月就发布了该漏洞的安全补丁,正式将修复整合进了Android 9.0 Pie系统,同时也推送给了支持升级的符合条件的旧版本设备。
[Q]:手机已经没法升级系统了该怎么防护?
[A]:尽量只从官方应用商店下载应用,不要安装来路不明的安装包;平时查看后台耗电,如果发现不常用应用异常耗电及时卸载;不用WiFi时关闭WiFi开关,降低被追踪的可能。
[Q]:窃取到的WiFi信息一般被用来做什么?
[A]:这些信息大多被用来生成用户位置「指纹」,卖给广告商做精准广告投放,也可能被不法分子利用进行诈骗或者恶意跟踪,危害用户隐私和人身财产安全。
评论 (0)