android手机安全:被攻陷的一个场景
来源:互联网 发布:人工智能英文介绍ppt 编辑:程序博客网 时间:2024/05/26 09:54
到处找WIFI,对于我们的手机控来说是相当普遍的了。如果你发现了有可用的wifi,并选择了浏览器连接,当浏览器出现一个web 页面的时候,你可能已经中招了。
同样,当你的手机使用一些免费应用的时候,经常会弹出一些广告页,这些广告的应用框架如果使用了web的前端技术,尤其是javascript,你也可能中招了。
这一切都祸起Javascript在android addJavascriptInterface API中的远程代码执行的Bug(CVE-2012-6636),这个Bug允许Javascript代码获得访问系统的更大权限。当app第一次运行时,它们通过HTTP下载javascript库。也就是说,App通常不安全地下载了未验证的javascript代码,而这些代码运行在可执行任意代码的环境中。
尽管权限提升技术在Android上很普遍(获得设备的“root”权限),但远程代码执行同样是一种罕见且危险得多的漏洞,它允许攻击者不经授权就在用户设备上执行特定代码。
我们应该养成“远程代码执行”与“root权限”在严重等级上等价的习惯,因为一个下定决心的黑客将可能从一个地方蹦到另一个地方,获取设备的完全控制权。
通俗地说,避免类似场景至少要采用下列两个措施:
1)将系统升级到andorid 4.2以上
2)尽量少用含有第三方广告的应用
同样,当你的手机使用一些免费应用的时候,经常会弹出一些广告页,这些广告的应用框架如果使用了web的前端技术,尤其是javascript,你也可能中招了。
这一切都祸起Javascript在android addJavascriptInterface API中的远程代码执行的Bug(CVE-2012-6636),这个Bug允许Javascript代码获得访问系统的更大权限。当app第一次运行时,它们通过HTTP下载javascript库。也就是说,App通常不安全地下载了未验证的javascript代码,而这些代码运行在可执行任意代码的环境中。
尽管权限提升技术在Android上很普遍(获得设备的“root”权限),但远程代码执行同样是一种罕见且危险得多的漏洞,它允许攻击者不经授权就在用户设备上执行特定代码。
我们应该养成“远程代码执行”与“root权限”在严重等级上等价的习惯,因为一个下定决心的黑客将可能从一个地方蹦到另一个地方,获取设备的完全控制权。
通俗地说,避免类似场景至少要采用下列两个措施:
1)将系统升级到andorid 4.2以上
2)尽量少用含有第三方广告的应用
0 0
- android手机安全:被攻陷的一个场景
- 你的Outlook真的安全?一条恶意规则远程攻陷你的工作站!
- 被攻陷的数字签名:木马作者冒用知名网络公司签名
- Cisco路由器是怎样被攻陷的--SolarWinds2002的简单使用
- 黑客攻陷'360安全论坛' 偷窃网游和QQ帐号
- 16岁女孩攻陷著名安全企业HBGary
- Android手机安全之我见
- android 上传一个手机上的文件
- 一个基于场景感应的android智能手机防丢失系
- 如何安全Android:手机或平板电脑14个安全的秘诀
- Kytenote:将Android手机打造成儿童专用的安全手机
- 重要的手机安全信息
- 很好的一个游戏场景
- 反射的一个应用场景
- ClassLoader的一个应用场景
- 一个基本的工作场景
- 号外!成功攻陷布什的Hotmail邮箱并进入一窥
- 黑客软件大众化 【爆吧机的出现】杨丞琳贴吧遭网友攻陷
- 构造函数、构造代码块
- mysql建表查询语句总结
- ios app间的相互跳转
- 上人际沟通银行卡
- 【Android】java.lang.IllegalStateException: Recursive entry to executePendingTransactions
- android手机安全:被攻陷的一个场景
- iOS 开发 storyboard 教程
- 第一个Swift程序 - Helloworld
- 黑白图像的图像增强
- poj2356 Find a multiple(鸽巢原理)
- Git Submodule使用完整教程
- [iOS] 用 Swift 开发一个 TODO 应用
- alter table t_agent_adv alter column status set default 1;
- jdk 与 jre