android手機安全:被攻陷的一個場景

abel_cao發表於2014-10-20

版權宣告:本文為半吊子子全棧工匠(wireless_com,同公眾號)原創文章,未經允許不得轉載。 https://blog.csdn.net/wireless_com/article/details/40303381

 到處找WIFI,對於我們的手機控來說是相當普遍的了。如果你發現了有可用的wifi,並選擇了瀏覽器連線,當瀏覽器出現一個web 頁面的時候,你可能已經中招了。

同樣,當你的手機使用一些免費應用的時候,經常會彈出一些廣告頁,這些廣告的應用框架如果使用了web的前端技術,尤其是javascript,你也可能中招了。

這一切都禍起Javascript在android addJavascriptInterface API中的遠端程式碼執行的Bug(CVE-2012-6636),這個Bug允許Javascript程式碼獲得訪問系統的更大許可權。當app第一次執行時,它們通過HTTP下載javascript庫。也就是說,App通常不安全地下載了未驗證的javascript程式碼,而這些程式碼執行在可執行任意程式碼的環境中。

儘管許可權提升技術在Android上很普遍(獲得裝置的“root”許可權),但遠端程式碼執行同樣是一種罕見且危險得多的漏洞,它允許攻擊者不經授權就在使用者裝置上執行特定程式碼。

我們應該養成“遠端程式碼執行”與“root許可權”在嚴重等級上等價的習慣,因為一個下定決心的黑客將可能從一個地方蹦到另一個地方,獲取裝置的完全控制權。

通俗地說,避免類似場景至少要採用下列兩個措施:
1)將系統升級到andorid 4.2以上
2)儘量少用含有第三方廣告的應用


相關文章