在 XDA,有人发现 Samsung 手机存在外泄您的位置风险,预载了 AccuWeather 的 Samsung 手机都会有这个保安漏洞。
您的位罝被存在系统属性
AccuWeather 本身俱有阅读 GPS 位置的权限,但 AccuWeather 会将读取到的位置资讯存放在系统属性内,其他的程式就算没有任何读取GPS 或位置的权限,亦不用Root,只要读取这个系统属性就可以知道你的位置。
恶意程式只需简单的两行指令,就可以读取这个系统属性资料。
若果曾经使用过 AccuWeather 的 Widget,你的位置资料就会被储存在系统属性,就算是移除 Widget或清除快取,这个系统属性还是会保留着。
补救方法
现阶段还未见有恶意程式利用这个保安漏洞,但为安全起见,可以在 AccuWeather Widget 内将位置手动胡乱设定至其他地区。但长远还是要待 Samsung 推出 Update 修补漏洞。
