一個典型的android hack 情境

標籤：android   http   使用   java   sp   代碼   ad   bs   javascript   

 到處找WIFI,對於我們的手機控來說是相當普遍的了。如果你發現了有可用的wifi，並選擇了瀏覽器串連，當瀏覽器出現一個web 頁面的時候，你可能已經中招了。

同樣，當你的手機使用一些免費應用的時候，經常會彈出一些廣告頁，這些廣告的應用程式框架如果使用了web的前端技術，尤其是javascript，你也可能中招。

這一切都禍起於Javascript在android addJavascriptInterface API中的遠程代碼執行Bug（CVE-2012-6636），這個Bug允許Javascript代碼獲得訪問系統的更大許可權。當app第一次運行時，它們通過HTTP下載javascript庫。也就是說，App通常不安全地下載了未驗證的javascript代碼，而這些代碼運行在可執行任意代碼的環境中。

儘管許可權提升技術在Android上很普遍（獲得裝置的“root”許可權），但遠程代碼執行同樣是一種罕見且危險得多的漏洞，它允許攻擊者不經授權就在使用者裝置上執行特定代碼。

我們應該養成“遠程代碼執行”與“root許可權”在嚴重等級上等價的習慣，因為一個下定決心的駭客將可能從一個地方蹦到另一個地方，擷取裝置的完全控制權。

通俗地說，避免類似情境至少要採用下列兩個措施：
1）將系統升級到andorid 4.2以上
2）盡量少用含有第三方廣告的應用

一個典型的android hack 情境