免费看在线a黄视频|99爽99操日韩毛片儿|91停婷在线无码观看|日韩三级片小视频|一级黄片免费播放|欧美成人视频网站导航|亚洲日韩欧美七区|国产视频在线观看91|人成视频免费在线播放|国产精品成人在线免费观看

事件背景：9月5日，360和周鴻祎通過微博和微信大肆宣揚(yáng)一個(gè)手機(jī)安全漏洞的“驚天發(fā)現(xiàn)”：“國內(nèi)驚現(xiàn)首個(gè)手機(jī)掛馬高危漏洞”，并宣稱“可被大規(guī)模利用”，并曝出騰訊、百度、金山的多款安卓應(yīng)用具有嚴(yán)重的手機(jī)掛馬漏洞，一時(shí)間人心惶惶。然而第二天360手機(jī)瀏覽器和手機(jī)衛(wèi)士也被權(quán)威機(jī)構(gòu)曝出存在同樣的漏洞，等于自己打了自己一個(gè)耳光。

這究竟是怎么一回事呢？經(jīng)筆者這些天的研究，已基本弄明白了事情的原委。這個(gè)漏洞源于安卓。

第一、這是安卓的漏洞，所以基于安卓系統(tǒng)的APP都受到影響，因?yàn)樾枰c(diǎn)擊鏈接打開掛馬網(wǎng)站才能中招，因此手機(jī)瀏覽器首當(dāng)其沖，UC、QQ、360、獵豹等瀏覽器都不能幸免。

第二、這個(gè)安卓的漏洞其實(shí)2年前就有了，而不是今天才“驚現(xiàn)”的。

專家是這么說的：“這個(gè)問題最早是可以追溯到2011年的一篇論文《Attacks on WebView in the Android System》http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf 這篇文章指出了addJavascriptInterface的方式在功能上帶來的一些風(fēng)險(xiǎn)，比如你的app里實(shí)現(xiàn)了一個(gè)讀寫文件的類，然后使用addJavascriptInterface接口允許js調(diào)用，那么就可能導(dǎo)致攻擊者直接調(diào)用這個(gè)class（類）實(shí)現(xiàn)讀寫文件的操作。這種方式是最原始的風(fēng)險(xiǎn)，并沒有直接指出getClass()方法的利用?！?

第三、這個(gè)漏洞其實(shí)很難利用，危害程度并沒有360說得那樣驚悚。

專家說“這個(gè)漏洞要實(shí)現(xiàn)完美的利用，還需要一些其他東西配合”。

第四、這個(gè)漏洞很多廠商已逐步修復(fù)，對用戶并未產(chǎn)生多少影響。

作者微信公眾號：雜侃科技