Android webview新漏洞,可导致同WiFi网络可窃取SD卡内容

最新推荐文章于 2024-05-07 11:14:58 发布
最新推荐文章于 2024-05-07 11:14:58 发布
阅读量126 收藏
点赞数
文章标签: 移动开发

 

   根据安全研究人员发布的最新公告显示他们又找到一个能够威胁大部分Android设备的最新漏洞。该漏洞主要出现在WebView编程接口方面,开发者能 够通过该接口来让本地应用实现网页端的相关功能。本地应用在访问网络进行数据传输的时候安全性能将会大打折扣,能够被在相同WiFi网络环境下的黑客轻松攻击。


安全研究公司MWR InfoSecurity表示“目前发现的该漏洞至少能够实现远程下载你手机SD卡上的内容,并能够捕获应用程序的相关数据等功能。”此外研究者还对目前Google Play商城出售的最畅销100款应用进行了检测,发现有62款应用存在“潜在”威胁,非常容易受到该漏洞的攻击。
最后安全专家表示鉴于目前Android系统都是由各个OEM厂商自行推送更新,导致固件升级延误,谷歌应该从应用程序方面着手,要求新应用应该对WebView数据进行SSL加密。

 

 

 

   看来给予webkit的混合应用不太安全,前几次也是因为webview的漏洞,看来以后慎用webview

 

此漏洞出现在WebView控件中,其封装在Android的sdk中,主要用开控制的网页浏览。开发人员在程序中装载WebView控件,可以设置属性(颜色,字体等),但这里面包含了一个非常不安全的函数,黑客可以利用这个接口函数可实现管道穿透,进而随意控制使用Android 系统的设备。

 

 

 

iteye_16581
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android webview旋转屏幕导致页面重加载问题解决办法
08-29
主要介绍了Android webview旋转屏幕导致页面重加载问题解决办法的相关资料,希望通过本文能帮助到大家实现这样的问题,需要的朋友可以参考下
移动安全学习笔记——Webview安全漏洞总结
0nc3的博客
02-27 2977
0x00 Webview简介 Webview交互是指App使用webview加载展示功能页面,在使用过程中会存在一些风险,导致app被攻击者利用,加载恶意代码,窃取用户信息。 0x01 file协议跨域访问 1、漏洞原理 webview控件将setAllowFileAccessFromFileURLs或setAllowUniversalAcessFromFileURLsAPI设置为true,开启了file域访问,且允许file域访问HTTP域,但是并未对file域的路径做严格限制。 2、检测方法 webv
WebView读取SD卡上的HTML
Li_peilun的博客
05-07 5122
public void SetWebView(){ WebView webView = (WebView)findViewById(R.id.report_webview);// 设置允许访问文件数据 webView.getSettings().setAllowFileAccess(true); //支持放大网页功能 webView.getSettings().setSupportZoom(tr
Android 违规获取用户隐私(获取MAC地址)整改
热门推荐
朱豪凯的博客
12-31 1万+
前几天,收到公司App违规收取用户隐私的邮件,说是存在收集设备MAC地址的行为。 这就让我很方了,上次已经整改过一次违规获取用户隐私的问题了,这次又来。。 因为上次整改的时候,已将所有的第三方库移到用户同意了隐私协议后,才去初始化的,自己的代码又不会去获取这些数据,理应不会再出现获取,所以就很奇怪,不知道哪里出了问题。 后来想到,既然是去获取了MAC地址,必定要调用系统的API,那么我只要去HOOK系统的方法,就可以知道在什么时候,去获取了MAC地址了。 由于各个系统版本获取MAC地址的方式不同,所以特意拿
Android WebView违规获取MAC地址解决方案
分享Android开发知识
06-11 3549
一、需求背景 最近app的合规检查特别的严格,app在同意隐私协议之前不允许获取用户的隐私信息,但是很多的隐私合规都是写在H5中的,通过webview打开h5会获取mac地址,所有要想通过合规检查就必须让webview打开h5的时候获取不到mac地址。 二、解决方案 1.方案思路 经过多种的尝试最后想到了解决方案,既然是去获取了MAC地址,必定要调用系统的API,那么只要去HOOK系统的方法在获取mac地址的时候返回空字符串就可以了。 2.代码实现 object HookMacAddressUtils {
Android 应用有哪些常见,常被利用的安全漏洞?与修复建议
lizhong
12-09 1621
Android应用会遇到各种各样的漏洞,如何从细节上了解各种安全隐患,积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识,小编专门邀请网易云易盾资深安全工程师徐从祥为大家详细解读十大常见的Android漏洞,仅供参考。 第一大类:Android Manifest配置相关的风险或漏洞 1、程序可被任意调试 风险详情:安卓应用apk配置文件Andr...
最全Android安全检测漏洞解决方案
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android中大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
Android漏洞WebView漏洞,Web漏洞与Web安全
ShareUs的专栏
03-16 2586
> Android漏洞 主要Android漏洞主要包括App反编译重打包、组件劫持漏洞、密码泄露、第三方库漏洞WebView漏洞、系统服务漏洞Android 内存溢出与内存泄漏的简单分析与解决- http://blog.csdn.net/u014674558/article/details/62234008?ref=myread -- static引用泄露,将静态的改为软引用或非静态的...
Android中常被利用的漏洞
qq_22218005的博客
11-16 1228
在知乎上看到了关于在Android上,有哪些常被利用的漏洞话题,上面有一些大神们的见解,小弟在这里总结一下: 下面是来自知乎上 Mingshen Sun  给出的见解 1. 应用反编译 漏洞:APK 包非常容易被反编译成可读文件,稍加修改就能重打包成的 APK。 利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商 ID。 建议:使用 ProGuard 等工具
Android平台安全模型(The Android Platform Security Model)
ashimida
08-10 2119
摘要 Android是部署最广泛的终端用户操作系统,其覆盖的用例包括: 通信,导航,媒体消费,娱乐,财务,健康以及传感器,执行器,摄像头或麦克风,其基础安全模型需要在各种情况下解决许多实际的威胁。 Android的安全模型模型需要在终端用户的安全性,隐私性,可用性,及在资源紧张的硬件配置下保证应用开发和系统性能之间取得平衡。 虽然很多设计原则都隐含在了整个系统架构,访问控制机制和漏洞缓解技术中,但Android的安全模型之前从未正式发布过,本文的目的就是为了讨论此抽象模型。 基于威胁模型的定...
关于AndroidWebView远程代码执行漏洞浅析
01-04
 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法...
Android WebView 常见问题及处理方案
01-05
但是androidwebview默认支持的功能非常弱,很多地方都是需要自定义的,才能达到我们想要的效果。并且webview在不同的版本会有不同程度的bug。下面小编把webview经常出现的问题给大家整理如下: 1.为WebView自定义...
Android framework WebView浏览器内核101.0.4951.61
06-02
Android framework 系统编译 WebView浏览器内核101.0.4951.61
厂家自定义 Android Ant编译流程源码分析
结合项目案例,记录点点滴滴,自己回顾,分享他人o__o
05-06 401
我的是:(E:\Tool\Windows\adt-bundle-windows-x86-20130729\sdk\tools\ant)上面主要是配置依赖工程,你可以手动改,当然默认的是用eclipse配置的工程的时候利用ADT插件自动生成的。其他的差异不用管,只管上面两行就可以了,每个ant版本的内容是不一样的,只要和自己的sdk对应就可以了。上述模块基本上把所有的情况都考虑到了,大家只要按照自己工程的实际需求改改就可以了,把没有用的删除。找到自己安装目录下的build.xml。解压ant的包到本地目录。
vosk 语音驱动 模型
子燕若水的博客
05-04 382
此外,Vosk 还提供了多种语言的预训练模型,包括英语、中文、法语、西班牙语等,使得开发者可以轻松地为他们的应用程序添加多语言支持。它支持 20 多种语言和方言的语音识别 - 英语、印度英语、德语、法语、西班牙语、葡萄牙语、中文、俄语、土耳其语、越南语、意大利语、荷兰语、加泰罗尼亚语、阿拉伯语、希腊语、波斯语、菲律宾语、乌克兰语、哈萨克语、瑞典语、日语、世界语、印地语、捷克语、波兰语。为各种编程语言(如 Python、Java、Node.JS、C#、C++、Rust、Go 等)实现的语音识别绑定。
Android mmc command
最新发布
kv110的专栏
05-07 157
Android mmc command
Android NDK开发——Android Studio 3.5.2安装与配置踩坑
君莫笑lucky的博客
05-05 1111
本博客主要记录Android Studio 3.5.2旧版本安装与配置时遇到的主要踩坑。
前端 Android App 上架详细流程 (Android App)
qq_52602294的博客
05-06 333
安卓打包后、或者uni-app 打包后 都可以使用,上架APP的流程都一样,
android webview framework,androidWebview导致ANR
06-02
AndroidWebView框架是一个非常强大的工具,可以在应用程序中显示网页内容。但是,当WebView在加载网页时,可能会导致ANR(应用程序无响应)。这可能是由于以下原因: 1. 网页加载时间过长:如果网页包含大量的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值