搜索

提醒:新发现的Android漏洞可被大规模利用,包括远程操控手机窃取隐私、扣费等

王壮 · 2013-09-06
创新工场旗下的上网快鸟向36氪透露,近期国内爆出的Android WebView安全漏洞会导致大量应用成为黑客管道。漏洞危及超过90%的安卓手机,当用户通过存在漏洞的APP打开挂马网页后,可被大规模利用,包括远程操控手机窃取隐私、扣费等。

创新工场旗下的上网快鸟向36氪透露,近期国内爆出的Android WebView安全漏洞会导致大量应用成为黑客管道。漏洞危及超过90%的安卓手机,当用户通过存在漏洞的APP打开挂马网页后,可被大规模利用,包括远程操控手机窃取隐私、扣费等。

根据上网快鸟联合创始人姜向前的介绍,该漏洞的原理是在Android的SDK中封装了WebView控件,该控件可以和使用它的应用程序结合的更加紧密,在页面内允许 JavaScript 调用 Java 代码。

这个特性带来便捷的同时也具有很大的潜在风险。

因为 Java 代码本身可以调用系统本身的很多功能,例如读写文件,拨打电话、发短信扣费等,经过精心构造,甚至可以 root 手机、安装恶意程序。系统在设计时,对可以调用的 Java 代码做了一定的限制,但是这个限制在 4.2 之前的系统上不严密,会导致限制可以被绕过,形同虚设。

出于安全考虑,为了防止Java层的函数被随便调用,Google在Android 4.2版本之后,规定允许被调用的函数必须以JavascriptInterface 进行注解,所以如果某应用依赖的API Level为17或者以上,就不会受该问题的影响(注:Android 4.2中API Level小于17的应用也会受影响)。

国内大量的移动开发者都错误的调用了WebView控件接口,导致漏洞攻击大规模爆发。

在各App开发者还没有升级自己的App之前,建议大家使用系统自带的浏览器访问网页,并且慎重访问社交应用中陌生人发来的链接。

关于上网快鸟:

提供手机上网节省流量、云端实时拦截漏洞攻击等服务。

相关参考链接:

  1. http://drops.wooyun.org/papers/548
  2. http://blog.csdn.net/androidsecurity/article/details/11131891
+1

好文章,需要你的鼓励

参与评论
登录后才能参与讨论哦...
后参与讨论
提交评论0/1000

请回复有价值的信息,无意义的评论将很快被删除,账号将被禁止发言。

下一篇

KGI分析师Mingchi Kuo在9to5Mac上发布消息称iPad 5和iPad mini 2将在本月开始生产,但大规模的批量生产要等到今年的第四季度。同时,在下一代iPad上市之后,iPad 2将不会停产,给消费者多一个选择。

2013-09-06

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

为你推送和解读最前沿、最有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚集全球最优秀的创业者,项目融资率接近97%,领跑行业