※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2013-09-08 12:03:39
看板 MobileComm
作者 標題 [情報] 新發現的Android漏洞可被大規模利用
時間 Sat Sep 7 13:49:09 2013
新發現的Android漏洞可被大規模利用,包括遠程操控手機竊取隱私、扣費等
http://ppt.cc/z6NC
創新工場旗下的上網快鳥向36氪透露,近期國內爆出的Android WebView安全漏洞會導致
大量應用成為黑客管道。漏洞危及超過90%的安卓手機,當用戶通過存在漏洞的APP打開掛
馬網頁後,可被大規模利用,包括遠程操控手機竊取隱私、扣費等。
大量應用成為黑客管道。漏洞危及超過90%的安卓手機,當用戶通過存在漏洞的APP打開掛
馬網頁後,可被大規模利用,包括遠程操控手機竊取隱私、扣費等。
根據上網快鳥聯合創始人姜向前的介紹,該漏洞的原理是在Android 的SDK 中封裝了
WebView 控件,該控件可以和使用它的應用程序結合的更加緊密,在頁面內允許
JavaScript 調用Java 代碼。
這個特性帶來便捷的同時也具有很大的潛在風險。
因為Java 代碼本身可以調用系統本身的很多功能,例如讀寫文件,撥打電話、發短信扣
費等,經過精心構造,甚至可以root 手機、安裝惡意程序。系統在設計時,對可以調用
的Java 代碼做了一定的限制,但是這個限制在4.2 之前的系統上不嚴密,會導致限制可
以被繞過,形同虛設。
費等,經過精心構造,甚至可以root 手機、安裝惡意程序。系統在設計時,對可以調用
的Java 代碼做了一定的限制,但是這個限制在4.2 之前的系統上不嚴密,會導致限制可
以被繞過,形同虛設。
出於安全考慮,為了防止Java 層的函數被隨便調用,Google 在Android 4.2 版本之後,
規定允許被調用avascriptInterface 進行註解,所以如果某應用依賴的API Level
為17 或者以上,就不會受該問題的影響
(注:Android 4.2 中API Level 小於17 的應用也會受影響)。
國內大量的移動開發者都錯誤的調用了WebView 控件接口,導致漏洞攻擊大規模爆發。
在各App 開發者還沒有升級自己的App 之前,建議大家使用系統自帶的瀏覽器訪問網頁,
並且慎重訪問社交應用中陌生人發來的鏈接。
還好我第一.二個用的app就是Dr.Web Anti-virus Light,
McAfee Antivirus & Security
但ios與wp好像沒出這些app?
金山好像也沒有?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.170.142.119
※ 編輯: PAULJOE 來自: 118.170.142.119 (09/07 13:51)
推 :ˊ_>ˋ1F 09/07 13:57
推 :McAfee惡名昭彰2F 09/07 14:08
推 :IPHONE安定3F 09/07 14:19
→ :以下開放大量iphone和iOS推薦文章4F 09/07 14:19
推 :因為不被放在眼裡所以買lumia9205F 09/07 14:28
推 :少裝盜版或純apk檔吧6F 09/07 14:51
推 :哈哈一堆說自由度跟開放 其實就是要盜阿 哪有可能7F 09/07 16:03
推 :其實重點是小心使用webview的app 本身可能是無害的8F 09/07 16:13
推 :以後root更方便了(?)9F 09/07 22:13
推 :使用者要怎樣才知道某個app有沒有調用webview...??10F 09/07 22:43
推 :做得好不容易發現 但WebView就是網頁 ex 鄉民晚報11F 09/07 23:56
--
※ 看板: CPLife 文章推薦值: 0 目前人氣: 0 累積人氣: 256
回列表(←)
分享