手機(jī)
手機(jī) 手機(jī)資訊 手機(jī)新聞 最新的安卓漏洞或被大規(guī)模利用
安卓
09月 07

最新的安卓漏洞或被大規(guī)模利用

編輯:匿名 來源:互聯(lián)網(wǎng)
放大 縮小 打印 郵件 收藏本頁 游吧論壇

創(chuàng)新工場(chǎng)旗下的上網(wǎng)快鳥透露,近期國內(nèi)爆出的Android WebView安全漏洞會(huì)導(dǎo)致大量應(yīng)用成為黑客管道。漏洞危及超過90%的安卓手機(jī),當(dāng)用戶通過存在漏洞的APP打開掛馬網(wǎng)頁后,可被大規(guī)模利用,包括遠(yuǎn)程操控手機(jī)竊取隱私、扣費(fèi)等。

根據(jù)上網(wǎng)快鳥聯(lián)合創(chuàng)始人姜向前的介紹,該漏洞的原理是在Android的SDK中封裝了WebView控件,該控件可以和使用它的應(yīng)用程序結(jié)合的更加緊密,在頁面內(nèi)允許JavaScript調(diào)用Java代碼。

這個(gè)特性帶來便捷的同時(shí)也具有很大的潛在風(fēng)險(xiǎn)。

因?yàn)镴ava代碼本身可以調(diào)用系統(tǒng)本身的很多功能,例如讀寫文件,撥打電話、發(fā)短信扣費(fèi)等,經(jīng)過精心構(gòu)造,甚至可以root手機(jī)、安裝惡意程序。系統(tǒng)在設(shè)計(jì)時(shí),對(duì)可以調(diào)用的Java代碼做了一定的限制,但是這個(gè)限制在4.2之前的系統(tǒng)上不嚴(yán)密,會(huì)導(dǎo)致限制可以被繞過,形同虛設(shè)。

出于安全考慮,為了防止Java層的函數(shù)被隨便調(diào)用,GoogleAndroid 4.2版本之后,規(guī)定允許被調(diào)用的函數(shù)必須以JavascriptInterface進(jìn)行注解,所以如果某應(yīng)用依賴的API Level為17或者以上,就不會(huì)受該問題的影響(注:Android 4.2 中API Level小于17的應(yīng)用也會(huì)受影響)。

國內(nèi)大量的移動(dòng)開發(fā)者都錯(cuò)誤的調(diào)用了WebView控件接口,導(dǎo)致漏洞攻擊大規(guī)模爆發(fā)。

在各App開發(fā)者還沒有升級(jí)自己的App之前,建議大家使用系統(tǒng)自帶的瀏覽器訪問網(wǎng)頁,并且慎重訪問社交應(yīng)用中陌生人發(fā)來的鏈接。

打印 郵件 收藏本頁 幫肋
推薦閱讀
相關(guān)閱讀