android手機安全：被攻陷的一個場景

 到處找WIFI,對於我們的手機控來說是相當普遍的了。如果你發現了有可用的wifi，並選擇了瀏覽器連線，當瀏覽器出現一個web 頁面的時候，你可能已經中招了。

同樣，當你的手機使用一些免費應用的時候，經常會彈出一些廣告頁，這些廣告的應用框架如果使用了web的前端技術，尤其是javascript，你也可能中招了。

這一切都禍起Javascript在android addJavascriptInterface API中的遠端程式碼執行的Bug（CVE-2012-6636），這個Bug允許Javascript程式碼獲得訪問系統的更大許可權。當app第一次執行時，它們通過HTTP下載javascript庫。也就是說，App通常不安全地下載了未驗證的javascript程式碼，而這些程式碼執行在可執行任意程式碼的環境中。

儘管許可權提升技術在Android上很普遍（獲得裝置的“root”許可權），但遠端程式碼執行同樣是一種罕見且危險得多的漏洞，它允許攻擊者不經授權就在使用者裝置上執行特定程式碼。

我們應該養成“遠端程式碼執行”與“root許可權”在嚴重等級上等價的習慣，因為一個下定決心的黑客將可能從一個地方蹦到另一個地方，獲取裝置的完全控制權。

通俗地說，避免類似場景至少要採用下列兩個措施：
1）將系統升級到andorid 4.2以上
2）儘量少用含有第三方廣告的應用