Android 上的漏洞对普通用户有何影响，如何防范

首先，他们给这个漏洞取名叫寄生兽实在是……简单来说这其实是一个静态代码注入的漏洞，关键点在于安卓系统源码中对odex缓存文件的校验薄弱，可被绕过，从而实现恶意代码注入。那么这个漏洞的首要触发条件就是攻击者要能覆盖目标app的在文件系统中的odex，而每个app的odex都是在其私有目录里面，受沙盒机制保护。攻击者要利用这个漏洞就先得突破沙盒机制，而如果攻击者都已经有这样的权限了，其实能做的事情非常多，这个漏洞只是其中一种。

360列出了4种可能的攻击场景来突破沙盒机制。首先是三星自带的输入法的远程命令执行漏洞，这个漏洞要利用得劫持网络做中间人攻击，其实是比较局限的，不谈需要在应用插件更新时劫持网络，首先你得有一台三星……然后360列出了真实环境中的3种场景。第一种是解压目录遍历，这个其实是app开发者没有安全调用安卓原生api导致的漏洞，可让攻击者在解压时以目标app的权限覆盖到odex。第二种是备份的漏洞，这种漏洞也是由于安卓开发者没有安全配置清单文件导致的，可利用修改备份然后恢复的方式覆盖odex。以上两种方法都不需要root权限，这明明就是开发者的锅！就这两种场景而言，这个漏洞是有一定影响面的，跟webview那个由来已久的远程代码执行漏洞一样，是安卓本身安全缺陷导致的，但开发者自己应该作出应对。以后大家做安全审计时可以注意一下上面两种场景现在有新的注入手段了。第三种攻击场景是危言耸听，基本可以无视，要求攻击者具有root权限，你都有root权限了为什么不考虑动态注入呢，目前很多app的动态注入防护是很弱的，实际上大多数根本没有。

最后表达一下我一直以来的观点，不要动不动就把锅推到用户身上，root手机带来的安全隐患真的没有想象的那么大。为用户减少安全风险是每个敬业的安全工程师的职责，如果你所谓的安全是放弃功能，那大家还不如换回小灵通，这完全就是没有责任感的表现。