到现在都不明白浏览网页是怎么中毒的?

五杀联盟 发布于 2014/06/17 11:05
阅读 372
收藏 0
如题?
加载中
0
抢小孩糖吃
抢小孩糖吃
通过浏览器执行远程代码,这些代码里面让你向本地下载病毒程序,并通过远程浏览器对该程序进行执行
不日小鸡
回复 @抢小孩糖吃 : 我没说是漏洞,你都不明白我说的是什么 我说的0day仅针对@唐阳说的那句话而已,"浏览器下载能不通知用户"
抢小孩糖吃
抢小孩糖吃
回复 @不日小鸡 : 0day广泛是指在发布程序的第一天进行破解成功,由于计算机记录1为 0 所以称为 0day。后被引申为由于发布第一天破解所发现的漏洞。不会泛指成为漏洞的。
不日小鸡
回复 @唐阳 : 你不知道有0day这个东西?
抢小孩糖吃
抢小孩糖吃
回复 @唐阳 : 什么叫BUG,亲,就是没按照正常路线走
五杀联盟
五杀联盟
不可能的,浏览器下载能不通知用户?
0
hmh
hmh
我也一直没明白,这个是不是取决于浏览器的?
0
Beyond-Bit
Beyond-Bit
大马都是一个脚本页。上传你的网站。直接服务器会挂掉。小马就是js跨站,现在浏览器都能拦截了。
leo108
leo108
瞎扯淡
0
realanan
realanan
利用的是浏览器和系统里的漏洞来远程执行代码,所以咱要勤打补丁
0
抢小孩糖吃
抢小孩糖吃
主要的问题是大家主要使用Windows是以管理员身份使用的,如果严格按照用户权限设定,或者像Linux的强制权限,或Mac的沙盒,都无法正常获取足够的权限。
0
Gmail.com
Gmail.com

http://www.36kr.com/p/206009.html

近期国内爆出的 Android WebView 安全漏洞会导致大量应用成为黑客管道。漏洞危及超过 90% 的安卓手机,当用户通过存在漏洞的 APP 打开挂马网页后,可被大规模利用,包括远程操控手机窃取隐私、扣费等。

根据上网快鸟联合创始人姜向前的介绍,该漏洞的原理是在 Android 的 SDK 中封装了 WebView 控件,该控件可以和使用它的应用程序结合的更加紧密,在页面内允许 JavaScript 调用 Java 代码。

这个特性带来便捷的同时也具有很大的潜在风险。

因为 Java 代码本身可以调用系统本身的很多功能,例如读写文件,拨打电话、发短信扣费等,经过精心构造,甚至可以 root 手机、安装恶意程序。系统在设计时,对可以调用的 Java 代码做了一定的限制,但是这个限制在 4.2 之前的系统上不严密,会导致限制可以被绕过,形同虚设。

出于安全考虑,为了防止 Java 层的函数被随便调用,Google 在 Android 4.2 版本之后,规定允许被调用的函数必须以 JavascriptInterface 进行注解,所以如果某应用依赖的 API Level 为 17 或者以上,就不会受该问题的影响(注:Android 4.2 中 API Level 小于 17 的应用也会受影响)。

国内大量的移动开发者都错误的调用了 WebView 控件接口,导致漏洞攻击大规模爆发。

在各 App 开发者还没有升级自己的 App 之前,建议大家使用系统自带的浏览器访问网页,并且慎重访问社交应用中陌生人发来的链接。

相关参考链接:

  1. http://drops.wooyun.org/papers/548
  2. http://blog.csdn.net/androidsecurity/article/details/11131891
返回顶部
顶部