应用克隆的漏洞主要原因还是安卓APP开发者们经常遇到的WebView问题,webView是android的sdk中封装的一个控件,主要用于打开控制的网页浏览。在程序中装载webView控件,可以设置属性(颜色,字体等),这个类似PC下directUI的功能。另外,在webView 下有一个非常特殊的接口函数addJavascriptInterface,能实现本地java和js的交互,利用addJavascriptInterface这个接口函数可实现穿透webkit控制android 本机。应用克隆就是利用安卓APP的漏洞,非法调用这个接口函数实现对应用的克隆。
这个讲解可能是专业了一点,对于安卓的开发者来讲很容易理解,但对于非开发人员可能还是有疑惑。那引石老王就给大家举一个例子,我们把你的家作为一个安卓手机,家里有很多智能的应用(比如:监控摄像头、智能冰箱、智能家居等),我们把拿钥匙开门比作手机中的一个应用APP。如过一个小偷(就是黑客)从你们家的没有关好的窗户(这就个可以相当于漏洞)进入了你们家,从你们家盗取了你的家门钥匙并且复制了一把(这就相当于应用克隆),这样小偷就可以堂而皇之地从你们家正门进去了。这个例子应该可以让大家基本理解安卓APP应用克隆的基本原理。WebView是Android本身自带的sdk工具,这个安全漏洞在安卓开发人员看来,其实是一直存在的,各种解决的办法在网络上都可以收到。但应用设计和开发者对于安全风险的重视程度不够,总觉得出现风险的几率不高,所以一直没有重视造成的。如果能够及早预防,就不会发生。目前玄武实验室也发布了解决这个漏洞的一些方法,有兴趣的开发者可以在网络上搜寻到。
引石老王作为信息安全行业资深人士,佩服于行业应用专家们的高超技术,但无论如何,隔行如隔山,不能因为自己在行业应用中是高手,就忽略了信息安全风险。目前这个技术高速发展的时代,黑客的攻击无处不在,从应用设计之初就加入信息安全防御的考虑才是应用得以健康发展的关键。
引石老王关注高科技,致力人工智能、物联网技术应用的反劫持防御与信息安全反黑!关注引石老王,欢迎留言与您探讨!
本文来自投稿,不代表天一生活立场,如若转载,请注明出处:http://tiyigo.com/phone/23100.html
