Android漏洞危及用户SD卡数据 谷歌加急开发补丁

北京时间11月27日，据国外媒体报道，谷歌正在加紧发布一个针对零日漏洞的补丁，该漏洞可以使黑客从Android用户的SD卡中窃取数据。安全研究人员Thomas Cannon发现了这个漏洞并在其博客中透露更多细节之前，将该漏洞上报给谷歌。

当用户访问一个特殊的崩溃恶意站点时，该漏洞才会被利用。黑客需要知道他们想要窃取的文件的名字和路径。然而，许多应用在SD卡上以固定的名字来保存数据。

该漏洞没有截取超级管理员权限，意味着它在Android沙箱中运行，不会取得系统中的所有文件，只会取得SD卡中和其他的少量文件。导致该漏洞产生的因素有很多，特别是Android浏览器运行JavaScript时，如果一个文件被打开，用户并不会获得提示。

谷歌正在快速跟踪这个问题，开发Android浏览器补丁，允许在一些特定的条件下来访问用户SD卡中的文件。谷歌承诺将向合作伙伴提供该补丁，并且会发布到Android社区当中。