据京东探索研究院信息安全实验室高级安全研究员Ricky介绍，魔形女漏洞命名源于漫威漫画中的魔形女（Mystique），Mystique可以变化伪装成他人的身份并潜入防卫严密的基地。与Mystique类似的是，黑客诱导用户来下载安装恶意App（或直接将攻击代码嵌入正常App）后，可利用魔形女漏洞伪装成任意其他App，从而可自动启动对手机所有APP的监听和信息获取。

  对安卓用户而言，该漏洞将对隐私造成什么影响？具体可能会影响到哪些隐私数据？

  “我理解安卓用户的隐私数据分为两种，一种是包括相册、通讯录在内的系统管理通用数据，另外一种是相当于存放在App内部的数据，比如微信聊天记录等……魔形女漏洞相当于把用户的隐私‘一网打尽’，拿走用户的哪些隐私数据完全取决于攻击者的目的”。 Ricky说道。

  他进一步举例说明，黑客可通过该漏洞，获取用户所有App的隐私数据和权限，例如任意获取监听微信、Facebook、Telegram聊天记录，任意劫持支付宝、Gmail、企业内部工作应用等，而用户并不会有感知。

  漏洞从何而来？京东安全方面介绍，安卓系统工程师在Android新版本开发过程中为完成某种特性在产品设计中违反了最小权限的原则，导致原本严密的沙箱设计中出现了松动。可类比为酒店房间的门锁制造厂商在新产品生产的全部过程中出现了失误，导致了一把新出现的钥匙拥有打开所有酒店门锁的权限。

  Ricky表示，魔形女漏洞的发现对安全行业起到了警示作用，行业需要联合起来，积极投入系统的安全防御和检测。“有关部门、企业和公众对隐私问题逐渐重视，但同时黑客通过窃取隐私获得的收益也慢慢变得高。攻防不会因为难度增加和风险增大而停滞，我们一定要持续重视安全问题，不仅从源头上减少漏洞的产生，开发者或者厂商也需要向用户告知，用户是否曾在网络安全上受到威胁，我认为这个可能是需要大家再进一步行动的。”

  目前，京东安全方面表示，已经向Google和各大手机生产厂商提报漏洞并提出修复建议，并得到确认修复和致谢，Google和各大厂商已经在当前最新版本补丁（9、10月份）的Android11和10月新发布的Android12中修复这样一些问题。京东安全也通过京东探索研究院信息安全实验室官方博客向全社会提供检验测试能力和SDK，安卓用户都能够下载检测工具，检测自己的手机是不是真的存在魔形女漏洞的风险。

  另外，Ricky建议，用户都能够尽快升级系统，关注安卓手机生产厂商的公告，也能够正常的使用检测工具来检测自己是不是曾经受到攻击。