曝光1年多的上網隱私漏洞要在Android P上修復了

一年多前曝光的Android隱私漏洞終於要被修復了。目前Android端的APP能夠在不諮詢任何敏感全新的情況下獲得完整的網路鏈接功能。這些APP雖然無法檢測到網路呼叫的內容，但可以通過TCP/UDP來嗅探傳入和傳出的連接，以確定你是否連接到某個特定的伺服器上。例如，一款應用程序可以檢測設備中的其他應用是否連接到金融機構的伺服器。

任意APP不僅可以檢測設備中的其他APP是否連接到網路中，而且能夠知道其他APP何時連接到哪個伺服器上。有消息稱，一些Play應用稱會利用這種方法來檢測是否連接到伺服器上，包括Facebook、Twitter和其他社交應用都可以在你不知情的情況下來追蹤你的上網行為。

AOSP上的新Commit-「starttheprocessoflockingdownproc/net」，其中/proc/net包含了一系列來自內核中關於網路活動的輸出設置。目前並沒有對訪問/proc/net的APP進行限制，這意味著任何APP都可以通過這裡讀取（尤其是TCP/UDP）以解析設備的網路活動。

不過Android的SELinux規則中對其進行了調整，訪問某些信息會受到限制。在AndroidP中，SELinux規則只有指定的VPN應用程序能夠訪問部分文件。其他申請訪問的APP會被系統進行審查。出於兼容的目的，那些APIlevels小於28的依然可以訪問這些文件。這意味著大部分應用依然可以獲得這個文件。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！