看板 MobileComm作者 PAULJOE (愛的獵人近藤勳)標題 [情報] 新發現的Android漏洞可被大規模利用時間 Sat Sep 7 13:49:09 2013
新發現的Android漏洞可被大規模利用,包括遠程操控手機竊取隱私、扣費等
http://ppt.cc/z6NC
創新工場旗下的上網快鳥向36氪透露,近期國內爆出的Android WebView安全漏洞會導致
大量應用成為黑客管道。漏洞危及超過90%的安卓手機,當用戶通過存在漏洞的APP打開掛
馬網頁後,可被大規模利用,包括遠程操控手機竊取隱私、扣費等。
根據上網快鳥聯合創始人姜向前的介紹,該漏洞的原理是在Android 的SDK 中封裝了
WebView 控件,該控件可以和使用它的應用程序結合的更加緊密,在頁面內允許
JavaScript 調用Java 代碼。
這個特性帶來便捷的同時也具有很大的潛在風險。
因為Java 代碼本身可以調用系統本身的很多功能,例如讀寫文件,撥打電話、發短信扣
費等,經過精心構造,甚至可以root 手機、安裝惡意程序。系統在設計時,對可以調用
的Java 代碼做了一定的限制,但是這個限制在4.2 之前的系統上不嚴密,會導致限制可
以被繞過,形同虛設。
出於安全考慮,為了防止Java 層的函數被隨便調用,Google 在Android 4.2 版本之後,
規定允許被調用avascriptInterface 進行註解,所以如果某應用依賴的API Level
為17 或者以上,就不會受該問題的影響
(注:Android 4.2 中API Level 小於17 的應用也會受影響)。
國內大量的移動開發者都錯誤的調用了WebView 控件接口,導致漏洞攻擊大規模爆發。
在各App 開發者還沒有升級自己的App 之前,建議大家使用系統自帶的瀏覽器訪問網頁,
並且慎重訪問社交應用中陌生人發來的鏈接。
還好我第一.二個用的app就是Dr.Web Anti-virus Light,
McAfee Antivirus & Security
但ios與wp好像沒出這些app?
金山好像也沒有?
--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.170.142.119
※ 編輯: PAULJOE 來自: 118.170.142.119 (09/07 13:51)
→ OscarShih:以下開放大量iphone和iOS推薦文章4F 09/07 14:19
推 sonota:哈哈一堆說自由度跟開放 其實就是要盜阿 哪有可能7F 09/07 16:03
推 SuM0m0:其實重點是小心使用webview的app 本身可能是無害的8F 09/07 16:13
推 cash35:使用者要怎樣才知道某個app有沒有調用webview...??10F 09/07 22:43
推 SuM0m0:做得好不容易發現 但WebView就是網頁 ex 鄉民晚報11F 09/07 23:56
--