一年多前曝光的Android隱私漏洞終於要被修復了。目前Android端的APP能夠在不諮詢任何敏感全新的情況下獲得完整的網路連結功能。這些APP雖然無法檢測到網路呼叫的內容,但可以透過TCP/UDP來嗅探傳入和傳出的連線,以確定你是否連線到某個特定的伺服器上。例如,一款應用程式可以檢測裝置中的其他應用是否連線到金融機構的伺服器。
任意APP不僅可以檢測裝置中的其他APP是否連線到網路中,而且能夠知道其他APP何時連線到哪個伺服器上。有訊息稱,一些Play應用稱會利用這種方法來檢測是否連線到伺服器上,包括Facebook、Twitter和其他社交應用都可以在你不知情的情況下來追蹤你的上網行為。
AOSP上的新Commit-“start the process of locking down proc/net”,其中 /proc/net包含了一系列來自核心中關於網路活動的輸出設定。目前並沒有對訪問 /proc/net的APP進行限制,這意味著任何APP都可以透過這裡讀取(尤其是TCP/UDP)以解析裝置的網路活動。
不過Android的SELinux規則中對其進行了調整,訪問某些資訊會受到限制。在Android P中,SELinux規則只有指定的VPN應用程式能夠訪問部分檔案。其他申請訪問的APP會被系統進行審查。出於相容的目的,那些API levels小於28的依然可以訪問這些檔案。這意味著大部分應用依然可以獲得這個檔案。
來源:cnBeta.COM