信息來源:FreeBuf
由于安卓系統(tǒng)權(quán)限管理機制不夠完善�����,黑客可以通過獲取麥克風(fēng)�����、攝像頭等權(quán)限在不知情的情況下竊取用戶隱私信息�。而為了改變這一現(xiàn)狀,安卓9.0(初步代號定為Pistachio Ice Cream���,Android P)將禁止空閑后臺應(yīng)用訪問智能手機的相機或麥克風(fēng)���。
這兩種變化的被認可并合并到周一Android源代碼[ 1,2 ]中����,詳細見下圖
如果UID閑置(在后臺時間超過了一定時間),它應(yīng)該無法使用相機����。如果UID變得空閑,我們會生成一個錯誤并關(guān)閉這個UID的攝像頭��。如果空閑UID中的應(yīng)用程序嘗試使用相機,我們會立即生成錯誤��。由于應(yīng)用程序應(yīng)該已經(jīng)能夠處理這些錯誤��,所以將此策略應(yīng)用于所有應(yīng)用程序是安全的�����,以保護用戶隱私���。
如果UID處于空閑狀態(tài)��,我們不允許錄制以保護用戶的隱私��。如果UID處于空閑狀態(tài)���,我們允許錄制但報告空數(shù)據(jù)(字節(jié)數(shù)組中的全零),一旦進程處于活動狀態(tài)�����,我們會報告真實的麥克風(fēng)數(shù)據(jù)��。這樣可以避免應(yīng)用程序在其生命周期前通知與音頻系統(tǒng)通知UID狀態(tài)之間的競爭���。
通過非聚焦的后臺應(yīng)用程序訪問相機和麥克風(fēng)的能力受到限制����,這是非常必要的�����。
惡意軟件作者以前濫用的功能
當(dāng)今大多數(shù)惡意軟件和商業(yè)間諜軟件產(chǎn)品都在濫用這兩種功能來拍攝受害者周圍的圖像或記錄附近的對話�。
這些功能并不是新功能,但已經(jīng)在惡意軟件中發(fā)現(xiàn)了四年��。不過為什么Android開源項目(AOSP)一開始花了這么長時間才實現(xiàn)���,這是一個謎��。
用戶和開發(fā)者將能夠在今年五月測試Android P�。預(yù)計谷歌將在谷歌I / O年度會議之后發(fā)布首個版本�����。Beta版本預(yù)計在夏季�,而穩(wěn)定版本預(yù)計將在8月底到9月初。
