提醒:新發現的 Andr​​oid 漏洞可被大規模利用,包括遠程操控手機竊取隱私、扣費等

數碼情報站 於 07/09/2013 發表 收藏文章

創新工場旗下的上網快鳥向36氪透露,近期國內爆出的Andr​​oid WebView安全漏洞會導致大量應用成為黑客管道。漏洞危及超過90%的 Andr​​oid 手機,當用戶通過存在漏洞的APP打開掛馬網頁後,可被大規模利用,包括遠程操控手機竊取隱私、扣費等。

根據上網快鳥聯合創始人姜向前的介紹,該漏洞的原理是在Android的SDK中封裝了WebView控件,該控件可以和使用它的應用程序結合的更加緊密,在頁面內允許JavaScript 調用Java 代碼。

這個特性帶來便捷的同時也具有很大的潛在風險。

因為Java 代碼本身可以調用系統本身的很多功能,例如讀寫文件,撥打電話、發短信扣費等,經過精心構造,甚至可以root 手機、安裝惡意程序。系統在設計時,對可以調用的Java 代碼做了一定的限制,但是這個限制在4.2 之前的系統上不嚴密,會導致限制可以被繞過,形同虛設。
出於安全考慮,為了防止Java層的函數被隨便調用,Google在Android 4.2版本之後,規定允許被調用​​的函數必須以JavascriptInterface 進行註解,所以如果某應用依賴的API Level為17或者以上,就不會受該問題的影響(注:Android 4.2中API Level小於17的應用也會受影響)。

國內大量的移動開發者都錯誤的調用了WebView控件接口,導致漏洞攻擊大規模爆發。

在各App開發者還沒有升級自己的App之前,建議大家使用系統自帶的瀏覽器訪問網頁,並且慎重訪問社交應用中陌生人發來的鏈接。

關於上網快鳥:

提供手機上網節省流量、雲端實時攔截漏洞攻擊等服務。
相關參考鏈接:

  1. http://drops.wooyun.org/papers/548
  2. http://blog.csdn.net/androidsecurity/article/details/11131891


資料來源:36Kr
標籤: Andr​​oid  漏洞  

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→