手机应用安全漏洞事件有多严重?

陈小步

陈小步

· 2013.09.08

这是安卓的漏洞,所以基于安卓系统的APP都受到影响,因为需要点击链接打开挂马网站才能中招,因此手机浏览器首当其冲,UC、QQ、360、猎豹等浏览器都不能幸免。但并没有360说的那么严重。

播放 暂停

手机应用安全漏洞事件有多严重?

00:00 02:22

 

事件背景:9月5日,360和周鸿祎通过微博和微信大肆宣扬一个手机安全漏洞的“惊天发现”:“国内惊现首个手机挂马高危漏洞”,并宣称“可被大规模利用”,并曝出腾讯、百度、金山的多款安卓应用具有严重的手机挂马漏洞,一时间人心惶惶。然而第二天360手机浏览器和手机卫士也被权威机构曝出存在同样的漏洞,等于自己打了自己一个耳光。

这究竟是怎么一回事呢?经笔者这些天的研究,已基本弄明白了事情的原委。这个漏洞源于安卓。

第一、这是安卓的漏洞,所以基于安卓系统的APP都受到影响,因为需要点击链接打开挂马网站才能中招,因此手机浏览器首当其冲,UC、QQ、360、猎豹等浏览器都不能幸免。

第二、这个安卓的漏洞其实2年前就有了,而不是今天才“惊现”的。

专家是这么说的:“这个问题最早是可以追溯到2011年的一篇论文《Attacks on WebView in the Android System》http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf 这篇文章指出了addJavascriptInterface的方式在功能上带来的一些风险,比如你的app里实现了一个读写文件的类,然后使用addJavascriptInterface接口允许js调用,那么就可能导致攻击者直接调用这个class(类)实现读写文件的操作。这种方式是最原始的风险,并没有直接指出getClass()方法的利用。”

第三、这个漏洞其实很难利用,危害程度并没有360说得那样惊悚。

专家说“这个漏洞要实现完美的利用,还需要一些其他东西配合”。

第四、这个漏洞很多厂商已逐步修复,对用户并未产生多少影响。

作者微信公众号:杂侃科技

本文系作者陈小步授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

”支持原创,赞赏一下“
钛哥儿 钛粉85193 那只猫已转身不见 一潭浑水 钛粉59301 钛粉14259
380人已赞赏 >
380换成打赏总人数380人赞赏钛媒体文章
关闭弹窗

挺钛度,加点码!

  • ¥ 5
  • ¥ 10
  • ¥ 20
  • ¥ 50
  • ¥ 100

支付方式

确认支付
关闭弹窗

支付

支付金额:¥6

关闭弹窗
sussess

赞赏金额:¥ 6

赞赏时间:2020.02.11 17:32

关闭弹窗 关闭弹窗
  • 继续努力

    2013-09-15 23:33 via weibo
  • 我们是婚纱摄影行业的客户专家,精准找到您城市里近期要拍婚纱的人群,把她们带到您的身边!

    2013-09-15 20:10 via weibo
  • 微福星 微福星
    回复
    0

    现在买车,价格由你说了算!新浪上海汽车砍价团强势推出,几十款车,【一键砍价】参与就有惊喜!到店就有礼,还有呵呵购车礼、幸运礼。。。丰厚礼品,让你抄底买车,亲们,走一个!http://t.cn/z8pZ0gB

    2013-09-12 23:24 via weibo
  • 蛮好玩的

    2013-09-12 21:43 via weibo
  • 原来没有想象的那么恐怖

    2013-09-12 17:55 via weibo
  • 原来没有想象的那么恐怖

    2013-09-12 17:55 via weibo
  • 两年前的,天哪

    2013-09-12 17:55 via weibo
  • labDkong labDkong
    回复
    0

    哦,早听说了

    2013-09-12 17:55 via weibo
  • 木槿Dream 木槿Dream
    回复
    0

    原来这样,怎么可以这样

    2013-09-12 17:54 via weibo
  • 木槿Dream 木槿Dream
    回复
    0

    原来这样,怎么可以这样

    2013-09-12 17:54 via weibo

Oh! no

您是否确认要删除该条评论吗?

注册邮箱未验证

我们已向下方邮箱发送了验证邮件,请查收并按提示验证您的邮箱。

如果您没有收到邮件,请留意垃圾邮件箱。

更换邮箱

您当前使用的邮箱可能无法接收验证邮件,建议您更换邮箱

账号合并

经检测,你是“钛媒体”和“商业价值”的注册用户。现在,我们对两个产品因进行整合,需要您选择一个账号用来登录。无论您选择哪个账号,两个账号的原有信息都会合并在一起。对于给您造成的不便,我们深感歉意。