新闻链接：c4fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8J5L8$3W2V1M7$3g2U0i4K6u0W2j5$3&6Q4x3V1k6E0N6%4u0Q4x3U0g2q4y4g2)9J5y4f1q4q4i4K6t1#2z5f1g2Q4x3U0g2q4z5g2)9J5y4f1q4m8i4K6t1#2z5p5y4Q4x3U0g2q4y4g2)9J5y4f1q4q4i4K6t1#2b7e0c8Q4x3U0g2q4y4g2)9J5y4e0R3#2i4K6t1#2b7f1y4Q4x3U0g2q4y4g2)9J5y4f1t1^5i4K6t1#2z5o6y4S2L8X3c8J5L8$3W2V1i4K6t1#2c8e0N6Q4x3U0g2n7x3#2)9J5y4f1u0n7i4K6t1#2c8e0N6Q4x3U0g2n7b7W2)9J5y4e0W2r3x3r3c8S2P5g2)9J5y4f1f1$3i4K6t1#2b7V1y4Q4x3U0f1^5c8W2)9J5y4f1f1$3i4K6t1#2b7U0c8Q4x3U0f1&6c8g2)9J5y4f1f1#2i4K6t1#2z5p5k6Q4x3U0g2m8c8W2)9J5y4f1f1%4i4K6t1#2b7V1u0Q4x3U0f1&6y4g2)9J5y4f1f1^5i4K6t1#2b7V1k6Q4x3U0f1^5y4$3q4F1k6s2u0G2K9h3c8Q4x3U0g2q4y4W2)9J5y4f1t1J5i4K6t1#2z5e0W2Q4x3U0g2q4y4#2)9J5y4f1q4q4i4K6t1#2b7U0q4Q4x3V1j5`.
原英文链接：143K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6D9j5h3u0K6i4K6u0W2L8i4N6J5K9h3&6X3L8%4y4W2j5%4g2J5K9i4c8&6i4K6u0W2j5$3!0E0i4K6u0r3j5h3c8$3K9i4y4G2M7X3W2W2M7#2)9J5c8U0t1H3x3e0g2Q4x3V1j5H3z5q4)9J5c8U0p5K6i4K6u0r3M7$3q4F1k6r3u0G2P5q4)9J5k6r3u0&6M7r3q4K6M7#2)9J5k6s2c8Z5M7X3!0#2k6$3S2Q4x3X3c8Y4L8$3!0Y4L8r3g2Q4x3X3c8S2k6r3#2A6L8W2)9J5k6s2N6W2j5Y4k6A6k6i4N6Q4x3V1j5`.
新闻时间：2015.08.16
新闻正文：
谷歌真是风波不断——近期，MWR实验室的研究人员又发现一个0day漏洞。这个漏洞存在于安卓系统中Google Admin应用程序处理一些URL的方式中，攻击者甚至可以通过这个漏洞绕过沙箱机制。MWR实验室在报告中提到了该漏洞原理：当Google Admin应用程序接收到一个URL，并且该URL是通过同一设备上任何其他应用的IPC调用接收时，Admin程序会将这个URL加载到它活动内的 Webview中。这时若攻击者使用一个file:// URL链接到他们所控制的文件，那么就可以使用符号链接绕过同源策略，并接收到Admin沙箱中的数据。
据悉，MWR实验室在今年3月就向谷歌报告了这个漏洞，谷歌则很快反馈说他们将在6月份发布针对该漏洞的补丁，然而直到现在这个补丁也未见踪影。于是在上周，MWR实验室通知谷歌表示他们“忍无可忍无须再忍”，并最终在周四公开了这份报告。
高冷的谷歌依旧并没有对此事发表评论。
对安全漏洞爱答不理，看来谷歌真是全心修炼起名大法了？

对此，MWR实验室建议那些带有Google Admin应用的手机用户：不要安装不可信的第三方APP。

自从今年6月谷歌推出了“安卓安全奖励”计划之后，各家似乎对谷歌的找漏热情更上一层楼。尤其是最近一个月以来，谷歌的安全技术团队估计早就忘了什么叫风平浪静的日子。不知道MWR实验室这次拿不拿得到奖励呢，因为按照谷歌的规定，漏洞在被告知谷歌以前便公之于众，就无法获得奖金喽。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！