昨日,一度被传得沸沸扬扬的“安卓挂马漏洞”风波终于有了定论,知名互联网专家在百度空间撰文对此次所谓的“安卓挂马漏洞”进行了详尽阐述,并指出这
其实是个“早在两年前就存在的安卓平台漏洞,
预计所有安全应用都将受到影响”,并表示其危害性也远没有某些安全厂商所宣扬的那么恐怖,且相关浏览器厂商已于这两天给出了漏洞修复方案。 至此,这个一度被冠以“国内首个”、“高危漏洞”等恐怖字眼的安卓平台漏洞事件,终于接近平息,而一度受到惊吓的用户也可放心恢复使用手机浏览器等安卓应用。
这位署名为superhei的安全专家在题为《android webview 漏洞背后的节操》中指出,这个安卓的漏洞其实两年前就有了,而不是今天才“惊现”的。“这个问题最早是可以追溯到2011年的一篇paper《Attacks on WebView in the Android System》这篇文章指出了addJavascriptInterface的方式在功能上带来的一些 风险,比如你的app里实现了一个读写文件的类,然后使用addJavascriptInterface借口允许js调用,那么就可能导致攻击者直接调用这个class实现读写文件的操作。这种方式是最原始的风险,并没有直接指出getClass()方法的利用。”
然而蹊跷的是,这样一个普通的漏洞,却在短时间内被迅速
大量传播,其严重级别也一度被渲染,这不仅给数亿用户带来极大
困扰,也令诸多安卓浏览器厂商十分不解。为了解除用户的疑虑, UC等浏览器厂商不得不通过官方微博、客户端等渠道向用户发表安全公告。而通过对此次漏洞相关扩散信息进行梳理发现,其源头竟然来自“奇虎360安全中心”发布的安全警告,随即包括360手机卫士、360安全卫士、周鸿祎等微博都参与了转发扩散。 而真相是“一个被完全夸大了的漏洞”,也并非像某些安全厂商所言“腾讯、百度、金山等部分安卓应用受到影响”,实际上这是一个安卓系统平台漏洞,包括UC浏览器、360 等均未能幸免。就在此漏洞被披露之后的9月6日,就有白帽子发现360手机浏览器、360手机卫士等安卓应用同样存在系统漏洞问题,并将此漏洞上传到乌云平台并提醒奇虎360及时修补。
对于此次漏洞,包括腾讯手机管家等安全厂商向用户及媒体给出了正确的判断和引导,并通过官方渠道发布了针对此次漏洞危害性的分析,建议用户只要谨慎打开陌生网址、使用专业
手机安全软件便可做到防御。乌云漏洞平台创始人方小顿也表示,此次发现的安卓应用漏洞并非新问题,早在2011年就已经存在,各大浏览器等安卓应用
普遍存在这个问题,涉及到浏览功能的产品也会受到影响。
这位安全专家在撰文中对奇虎360公司的新闻予以了谴责,认为此次漏洞风波再一次说明了“猪妖”的强大——此漏洞大体在1月份在该公司的产品里进行一些修补策略,于是基于他的“易攻击”性,怎么可能放弃这个机会呢?于是大势攻击竞争对手产品存在漏洞。“成也'猪妖'、败也'猪妖'”,他们
忽视了另外一句名言“猪一样的队友”! 一个“str2.contains”就把自己给坑了~~~
谈及此事,诸多
业内人士也
纷纷表示愤慨,认为奇虎360这种“借题发挥,恐吓用户、恶意打击竞争对手”的做法,对用户及互联网安全行业发展将产生极大危害,其破坏性远远大于产品漏洞本身。