日前外國安全研究公司 MWR InfoSecurity 公佈找到一個能夠威脅大部份 Android 設備的最新漏洞。
該漏洞主要出現在 WebView 編程接口方面,開發者能夠通過該接口來讓本地 App 實現網頁端的相關功能。如果本地 App 在訪問網絡進行數據傳輸的時候安全性能將會大降 – 能夠被在相同 Wi-Fi 網絡下的黑客攻擊。
MWR InfoSecurity 表示:“目前發現的漏洞至少能夠實現遠程下載你手機 SD 咭上的內容,並能夠捕獲 Apps 的相關數據等功能。” 此外研究者還對目前 Google Play 商城出售的最暢銷 100 款 Apps 進行了檢測,發現有 62 款 Apps 存在 “潛在” 威脅,非常容易受到該漏洞的攻擊。
最後 MWR InfoSecurity 表示鑑於目前 Android 系統都是由各個 OEM 廠商自行推送更新,導致固件升級延誤,建議 Google 應該從 Apps 方面著手,要求新 Apps 時應該對 WebView 數據進行 SSL 加密。
