Absrtact: 36 크립 톤을 혁신 공장 인터넷 빠른 새 안 드 로이드 WebView 보안 취약점의 최근 국내 버스트 해커 파이프라인으로 많은 응용 프로그램으로 이어질 것입니다 밝혔다. 안 드 로이드 폰의 90%를 위협 하는 취약점 및 사용자가 새 응용 프로그램을 통해 말 거 웹 페이지를 열고, 그들은 수
혁신 공장 인터넷 빠른 조류 36 크립 톤 안 드 로이드 WebView 보안 취약점의 최근 국내 버스트 해커 파이프라인으로 많은 응용 프로그램으로 이어질 것입니다 밝혔다. 취약점으로 인해 사용자가 새 응용 프로그램을 통해 말의 웹 페이지를 열 때의 개인 정보 보호, 은행 수수료, 원격 조작 등 큰 규모로 개발 될 수 있는 안 드 로이드 단말기의 90% 이상 위협.
Jiangxiang, 인터넷 빠른 새의 공동 설립자에 따라 결함 수 함께 그것을 사용 하는 응용 프로그램 페이지 내에서 자바 코드를 호출 하는 자바 안 드 로이드 SDK에서 WebView 컨트롤을 캡슐화 기반으로 합니다.
이 기능은 중요 한 잠재적인 위험 뿐만 아니라 편의 제공합니다.
자바 코드 자체는 주의 건설 후 읽기 및 쓰기 파일, 전화, 문자 메시지, 등 시스템 자체의 많은 기능을 호출할 수 있습니다, 때문에 루트 전화도, 악성 프로그램을 설치할 수 있습니다. 시스템은 호출할 수 있는 자바 코드의 양을 제한 하도록 하지만이 제한 4.2, 무시 될 수 있습니다 제한 하 고 바보의 형태로 끌 수 있는 이전 시스템에 꽉 되지 않습니다.
보안을 위해 임의로 호출, 자바 레이어 기능을 방지 하기 위해 구글, 안 드 로이드 4.2 버전 규칙 호출을 허용 하는 기능으로 javascriptinterface, 주석 첨부 되어야 합니다 그래서 만약 17 이상의 API 수준에 의존 하는 응용 프로그램 이 문제의 영향을 받지 않을 것 이다 (참고: 응용 프로그램 안 드 로이드 API 레벨 17 미만 4.2에도 영향을 받을 것 이다).
중국에서 모바일 개발자의 많은 수는 실수로 취약점 공격에의 거 대 한 폭발으로 이어지는 WebView 제어 인터페이스를 호출 됩니다.
응용 프로그램 개발자가 그들의 애플 리 케이 션을 업그레이드 하기 전에 시스템의 브라우저를 사용 하 여 웹 페이지를 액세스 하 여 낯선 주의 사회 응용 프로그램에서 링크를 방문 하는 것이 좋습니다.