新發現的Android漏洞可被大規模利用

來源:互聯網
上載者:User
關鍵字 扣費 操控 包括

摘要: 創新工廠旗下的 上網快鳥 向透露,近期國內爆出的Android WebView安全性漏洞會導致大量應用成為駭客管道。 漏洞危及超過90%的安卓手機,當使用者通過存在漏洞的APP打開掛馬網頁後,可被大

創新工廠旗下的上網快鳥向透露,近期國內爆出的Android WebView安全性漏洞會導致大量應用成為駭客管道。 漏洞危及超過90%的安卓手機,當使用者通過存在漏洞的APP打開掛馬網頁後,可被大規模利用,包括遠端操控手機竊取隱私、扣費等。

根據上網快鳥聯合創始人姜向前的介紹,該漏洞的原理是在Android的SDK中封裝了WebView控制項,該控制項可以和使用它的應用程式結合的更加緊密,在頁面內允許 JavaScript 調用 JAVA 代碼。

這個特性帶來便捷的同時也具有很大的潛在風險。

因為 JAVA 代碼本身可以調用系統本身的很多功能,例如讀寫檔,撥打電話、發短信扣費等,經過精心構造,甚至可以 root 手機、安裝惡意程式。 系統在設計時,對可以調用的 JAVA 代碼做了一定的限制,但是這個限制在 4.2 之前的系統上不嚴密,會導致限制可以被繞過,形同虛設。

出於安全考慮,為了防止JAVA層的函數被隨便調用,Google在Android 4.2版本之後,規定允許被調用的函數必須以JAVAscriptInterface 進行注解,所以如果某應用依賴的API Level為17或者以上, 就不會受該問題的影響(注:Android 4.2中API Level小於17的應用也會受影響)。

國內大量的移動開發者都錯誤的調用了WebView控制項介面,導致漏洞攻擊大規模爆發。

在各App開發者還沒有升級自己的App之前,建議大家使用系統自帶的瀏覽器訪問網頁,並且慎重訪問社交應用中陌生人發來的連結。

關於上網快鳥:

提供手機上網節省流量、雲端即時攔截漏洞攻擊等服務。

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.