根据安全研究人员发布的最新公告显示他们又找到一个能够威胁大部分Android设备的最新漏洞。该漏洞主要出现在WebView编程接口方面,开发者能 够通过该接口来让本地应用实现网页端的相关功能。本地应用在访问网络进行数据传输的时候安全性能将会大打折扣,能够被在相同WiFi网络环境下的黑客轻松攻击。 安全研究公司MWR InfoSecurity表示“目前发现的该漏洞至少能够实现远程下载你手机SD卡上的内容,并能够捕获应用程序的相关数据等功能。”此外研究者还对目前Google Play商城出售的最畅销100款应用进行了检测,发现有62款应用存在“潜在”威胁,非常容易受到该漏洞的攻击。 最后安全专家表示鉴于目前Android系统都是由各个OEM厂商自行推送更新,导致固件升级延误,谷歌应该从应用程序方面着手,要求新应用应该对WebView数据进行SSL加密。
看来给予webkit的混合应用不太安全,前几次也是因为webview的漏洞,看来以后慎用webview
此漏洞出现在WebView控件中,其封装在Android的sdk中,主要用开控制的网页浏览。开发人员在程序中装载WebView控件,可以设置属性(颜色,字体等),但这里面包含了一个非常不安全的函数,黑客可以利用这个接口函数可实现管道穿透,进而随意控制使用Android 系统的设备。
相关推荐
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
Android webview 内存泄露的解决方法 最近在activity嵌套webview显示大量图文发现APP内存一直在涨,没法释放内存,查了很多资料,大概是webview的一个BUG,引用了activity导致内存泄漏,所以就尝试传递...
Android WebView 去除标题 利用javacript交互
android WebView js漏洞预防的方案例子
Android Webview虽然提供了页面加载及资源请求的钩子,但是对于h5的ajax请求并没有提供干涉的接口,这意味着我们不能在webview中干涉javascript发起的http请求,而有时候我们确实需要能够截获ajax请求并实现一些功能...
Android Webview 滑动监听 放大缩小查看网页图片
Android Webview UXSS 漏洞攻防 应急响应 安全防御 漏洞挖掘 网络与基础架构安全 网络与基础架构安全
AndroidWebView安全漏洞解决方案.docx
1.WebView攻击⾯ 2.WebView配置与使⽤ 3.WebViewURL校验 4.WebView安全防御 5.总结 WebView已成为Android ...通过本演讲,开发者能了解到Android WebView最新的典型漏洞类型及其利用手法,从而获得安全编程方面的指南。
Android WebView实现自由复制文字
android webview input=file 失效解决方案
Android下使用Webview实现的HTML5视频播放器,播放本地视频时请加载video目录下的1.html
Android webview 加载网页以及本地资源以及SD资源demo,以及加载缓存资源
android WebView上传文件
android webview模拟网页post操作
这是AOSP的webview,包名com.android.webview,不是google的webview
Android WebView播放视频开发中总结的一些经验,希望同大家分享,这个是相应的Demo,一些经验和注释都在代码中写到。
Android webview先只展示部分内容,解锁后展示剩余内容功能的示例代码