免费看在线a黄视频|99爽99操日韩毛片儿|91停婷在线无码观看|日韩三级片小视频|一级黄片免费播放|欧美成人视频网站导航|亚洲日韩欧美七区|国产视频在线观看91|人成视频免费在线播放|国产精品成人在线免费观看

事件背景：9月5日，360和周鴻祎通過微博和微信大肆宣揚一個手機安全漏洞的“驚天發(fā)現(xiàn)”：“國內(nèi)驚現(xiàn)首個手機掛馬高危漏洞”，并宣稱“可被大規(guī)模利用”，并曝出騰訊、百度、金山的多款安卓應(yīng)用具有嚴(yán)重的手機掛馬漏洞，一時間人心惶惶。然而第二天360手機瀏覽器和手機衛(wèi)士也被權(quán)威機構(gòu)曝出存在同樣的漏洞，等于自己打了自己一個耳光。

這究竟是怎么一回事呢？經(jīng)筆者這些天的研究，已基本弄明白了事情的原委。這個漏洞源于安卓。

第一、這是安卓的漏洞，所以基于安卓系統(tǒng)的APP都受到影響，因為需要點擊鏈接打開掛馬網(wǎng)站才能中招，因此手機瀏覽器首當(dāng)其沖，UC、QQ、360、獵豹等瀏覽器都不能幸免。

第二、這個安卓的漏洞其實2年前就有了，而不是今天才“驚現(xiàn)”的。

專家是這么說的：“這個問題最早是可以追溯到2011年的一篇論文《Attacks on WebView in the Android System》http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf 這篇文章指出了addJavascriptInterface的方式在功能上帶來的一些風(fēng)險，比如你的app里實現(xiàn)了一個讀寫文件的類，然后使用addJavascriptInterface接口允許js調(diào)用，那么就可能導(dǎo)致攻擊者直接調(diào)用這個class（類）實現(xiàn)讀寫文件的操作。這種方式是最原始的風(fēng)險，并沒有直接指出getClass()方法的利用。”

第三、這個漏洞其實很難利用，危害程度并沒有360說得那樣驚悚。

專家說“這個漏洞要實現(xiàn)完美的利用，還需要一些其他東西配合”。

第四、這個漏洞很多廠商已逐步修復(fù)，對用戶并未產(chǎn)生多少影響。

作者微信公眾號：雜侃科技