手机应用安全漏洞事件有多严重?

摘要: 这是安卓的漏洞,所以基于安卓系统的APP都受到影响,因为需要点击链接打开挂马网站才能中招,因此手机浏览器首当其冲,UC、QQ、360、猎豹等浏览器都不能幸免。但并没有360说的那么严重。

 

事件背景:9月5日,360和周鸿祎通过微博和微信大肆宣扬一个手机安全漏洞的“惊天发现”:“国内惊现首个手机挂马高危漏洞”,并宣称“可被大规模利用”,并曝出腾讯、百度、金山的多款安卓应用具有严重的手机挂马漏洞,一时间人心惶惶。然而第二天360手机浏览器和手机卫士也被权威机构曝出存在同样的漏洞,等于自己打了自己一个耳光。

这究竟是怎么一回事呢?经笔者这些天的研究,已基本弄明白了事情的原委。这个漏洞源于安卓。

第一、这是安卓的漏洞,所以基于安卓系统的APP都受到影响,因为需要点击链接打开挂马网站才能中招,因此手机浏览器首当其冲,UC、QQ、360、猎豹等浏览器都不能幸免。

第二、这个安卓的漏洞其实2年前就有了,而不是今天才“惊现”的。

专家是这么说的:“这个问题最早是可以追溯到2011年的一篇论文《Attacks on WebView in the Android System》http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf 这篇文章指出了addJavascriptInterface的方式在功能上带来的一些风险,比如你的app里实现了一个读写文件的类,然后使用addJavascriptInterface接口允许js调用,那么就可能导致攻击者直接调用这个class(类)实现读写文件的操作。这种方式是最原始的风险,并没有直接指出getClass()方法的利用。”

第三、这个漏洞其实很难利用,危害程度并没有360说得那样惊悚。

专家说“这个漏洞要实现完美的利用,还需要一些其他东西配合”。

第四、这个漏洞很多厂商已逐步修复,对用户并未产生多少影响。

作者微信公众号:杂侃科技

本文系作者 陈德武 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

陈德武
陈德武

互联网和营销观察者,个人微信号:chendewu002。

评论(143

  • 至上儿童摄影大连店 至上儿童摄影大连店 2013-09-15 23:33 via weibo

    继续努力

    0
    0
    回复
  • 小小幸福芒果 小小幸福芒果 2013-09-15 20:10 via weibo

    我们是婚纱摄影行业的客户专家,精准找到您城市里近期要拍婚纱的人群,把她们带到您的身边!

    0
    0
    回复
  • 微福星 微福星 2013-09-12 23:24 via weibo

    现在买车,价格由你说了算!新浪上海汽车砍价团强势推出,几十款车,【一键砍价】参与就有惊喜!到店就有礼,还有呵呵购车礼、幸运礼。。。丰厚礼品,让你抄底买车,亲们,走一个!http://t.cn/z8pZ0gB

    0
    0
    回复
  • 至上儿童摄影大连店 至上儿童摄影大连店 2013-09-12 21:43 via weibo

    蛮好玩的

    0
    0
    回复
  • 奢华天使2010 奢华天使2010 2013-09-12 17:55 via weibo

    原来没有想象的那么恐怖

    0
    0
    回复
  • 奢华天使2010 奢华天使2010 2013-09-12 17:55 via weibo

    原来没有想象的那么恐怖

    0
    0
    回复
  • 一个有故事的拉风男人 一个有故事的拉风男人 2013-09-12 17:55 via weibo

    两年前的,天哪

    0
    0
    回复
  • labDkong labDkong 2013-09-12 17:55 via weibo

    哦,早听说了

    0
    0
    回复
  • 木槿Dream 木槿Dream 2013-09-12 17:54 via weibo

    原来这样,怎么可以这样

    0
    0
    回复
  • 木槿Dream 木槿Dream 2013-09-12 17:54 via weibo

    原来这样,怎么可以这样

    0
    0
    回复

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈