最新的安卓漏洞或被大規(guī)模利用

創(chuàng)新工場旗下的上網(wǎng)快鳥透露，近期國內(nèi)爆出的Android WebView安全漏洞會導(dǎo)致大量應(yīng)用成為黑客管道。漏洞危及超過90%的安卓手機(jī)，當(dāng)用戶通過存在漏洞的APP打開掛馬網(wǎng)頁后，可被大規(guī)模利用，包括遠(yuǎn)程操控手機(jī)竊取隱私、扣費(fèi)等。

根據(jù)上網(wǎng)快鳥聯(lián)合創(chuàng)始人姜向前的介紹，該漏洞的原理是在Android的SDK中封裝了WebView控件，該控件可以和使用它的應(yīng)用程序結(jié)合的更加緊密，在頁面內(nèi)允許JavaScript調(diào)用Java代碼。

這個特性帶來便捷的同時也具有很大的潛在風(fēng)險。

因?yàn)镴ava代碼本身可以調(diào)用系統(tǒng)本身的很多功能，例如讀寫文件，撥打電話、發(fā)短信扣費(fèi)等，經(jīng)過精心構(gòu)造，甚至可以root手機(jī)、安裝惡意程序。系統(tǒng)在設(shè)計時，對可以調(diào)用的Java代碼做了一定的限制，但是這個限制在4.2之前的系統(tǒng)上不嚴(yán)密，會導(dǎo)致限制可以被繞過，形同虛設(shè)。

出于安全考慮，為了防止Java層的函數(shù)被隨便調(diào)用，Google在Android 4.2版本之后，規(guī)定允許被調(diào)用的函數(shù)必須以JavascriptInterface進(jìn)行注解，所以如果某應(yīng)用依賴的API Level為17或者以上，就不會受該問題的影響（注：Android 4.2 中API Level小于17的應(yīng)用也會受影響）。

國內(nèi)大量的移動開發(fā)者都錯誤的調(diào)用了WebView控件接口，導(dǎo)致漏洞攻擊大規(guī)模爆發(fā)。

在各App開發(fā)者還沒有升級自己的App之前，建議大家使用系統(tǒng)自帶的瀏覽器訪問網(wǎng)頁，并且慎重訪問社交應(yīng)用中陌生人發(fā)來的鏈接。