Chiphell - 分享与交流用户体验

 找回密码
 加入我们
搜索
      
查看: 2082|回复: 6

[通讯科技] 黑客可通过JavaScript漏洞破解谷歌眼镜

[复制链接]
发表于 2014-2-9 17:26 | 显示全部楼层 |阅读模式
转自:http://www.cnbeta.com/articles/271657.htm

近日,一个存在于谷歌眼镜的安全漏洞被发现,能够让攻击者轻易执行任意代码。事实上,这个漏洞可以追溯到去年下半年安全研究人员在Android 4.1系统中发现的JavaScript API错误。这个功能为“addJavascriptInterface()”,被设计为允许开发者通过有限范围的JavaScript来访问Java代 码,但是由于存在Bug,只需创建一个运行代码的WebView,就能够访问已经损坏的JavaScript功能。

简单地说,便是通过这个漏洞获得最高JavaScript权限。



谷歌方面也曾经承认Android 4.1中的这个漏洞,表示攻击者能够以意想不到的方式来操纵主机应用程序,随意执行Java代码。在开源安全漏洞检测工具Metasploit最近的测试中,发现这个漏洞依然存在于最新的谷歌眼镜XE12软件版本中。

该漏洞对于谷歌眼镜的影响还是非常大的,因为很多Android免费应用程序都要使用WebView来加载HTML内容(如开发者网站、说明及广告),如果攻击者可以通过恶意的JavaScript代码来肆意修改HTML内容,将会对网站运营者及用户造成重大损失。

显然,这是谷歌眼镜目前存在的一个安全隐患,但谷歌方面并未发表声明,我们希望漏洞能够尽快被修补。

评分

1

查看全部评分

发表于 2014-2-9 19:31 | 显示全部楼层
你猜会不会有人戴着谷歌眼镜来OOXX,刚好那黑客入侵!
发表于 2014-2-9 19:31 | 显示全部楼层
一个人,带着谷歌眼镜 开着小车儿,哼着小曲儿。
黑客:叫你丫带那东西。
啊! 什么这是! 哦! 额呵呵!

那人眼前惊现爱情动作片。

BOOM

黑客转身,男人从不回头看爆炸。
发表于 2014-2-9 20:02 | 显示全部楼层
这货当时很多浏览器都中招 对JavaScript参数过滤不严 详见乌云

比较容易修复但修不好又容易有的漏洞了...
发表于 2014-2-9 20:15 | 显示全部楼层
谁解释一下这个漏洞是什么意思?如果我用glass访问某个网站,然后这个网站的javascript代码可以改动这个网站的html?这有什么问题吗?javascript不是经常用来改html么?
发表于 2014-2-9 21:06 | 显示全部楼层
本帖最后由 xdynuaa 于 2014-2-9 21:08 编辑
leojay 发表于 2014-2-9 20:15
谁解释一下这个漏洞是什么意思?如果我用glass访问某个网站,然后这个网站的javascript代码可以改动这个网 ...

WebView是用来在应用中内嵌浏览器浏览网页的,可以通过addJavascriptInterface()方法调用后台用JavascriptInterface注解的Java函数(没用过,估计是Ajax的类似,不过Ajax跨域是有限制的)。原来是public的函数都可以,导致js调用getclass来反射,以至于能调用所有函数。
这个漏洞应该是能利用addJavascriptInterface()调用本地的Java函数和远程的网页交互。。但是要修改网页的话,还得看网页怎么设计的并且对目标网站很熟悉。

感觉和glass完全没关系,硬扯上去的,估计为了黑或者吸引眼球
发表于 2014-2-9 21:32 来自手机 | 显示全部楼层
几乎这个版本的Android可能都会有这问题
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

小黑屋|手机版|Archiver|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806

GMT+8, 2019-8-22 15:30 , Processed in 0.012385 second(s), 19 queries , Gzip On, Redis On.

Powered by Discuz! X3.1

© 2007-2019 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表