“挂马”疑云风波平,安全专家解除漏洞警报 |
| 2013-09-08 19:54 作者:www.guigu.org 来源:中国财经网 HV: 编辑: 【搜索试试】
|
|
昨日,一度被传得沸沸扬扬的“安卓挂马漏洞”风波终于有了定论,知名互联网专家在百度空间撰文对此次所谓的“安卓挂马漏洞”进行了详尽阐述,并指出这其实是个“早在两年前就存在的安卓平台漏洞,预计所有安全应用都将受到影响”,并表示其危害性也远没有某些安全厂商所宣扬的那么恐怖,且相关浏览器厂商已于这两天给出了漏洞修复方案。
至此,这个一度被冠以“国内首个”、“高危漏洞”等恐怖字眼的安卓平台漏洞事件,终于接近平息,而一度受到惊吓的用户也可放心恢复使用手机浏览器等安卓应用。
这位署名为superhei的安全专家在题为《android webview 漏洞背后的节操》中指出,这个安卓的漏洞其实两年前就有了,而不是今天才“惊现”的。“这个问题最早是可以追溯到2011年的一篇paper《Attacks on WebView in the Android System》这篇文章指出了addJavascriptInterface的方式在功能上带来的一些 风险,比如你的app里实现了一个读写文件的类,然后使用addJavascriptInterface借口允许js调用,那么就可能导致攻击者直接调用这个class实现读写文件的操作。这种方式是最原始的风险,并没有直接指出getClass()方法的利用。”
然而蹊跷的是,这样一个普通的漏洞,却在短时间内被迅速大量传播,其严重级别也一度被渲染,这不仅给数亿用户带来极大困扰,也令诸多安卓浏览器厂商十分不解。为了解除用户的疑虑, UC等浏览器厂商不得不通过官方微博、客户端等渠道向用户发表安全公告。而通过对此次漏洞相关扩散信息进行梳理发现,其源头竟然来自“奇虎360安全中心”发布的安全警告,随即包括360手机卫士、360安全卫士、周鸿祎等微博都参与了转发扩散。
而真相是“一个被完全夸大了的漏洞”,也并非像某些安全厂商所言“腾讯、百度、金山等部分安卓应用受到影响”,实际上这是一个安卓系统平台漏洞,包括UC浏览器、360 等均未能幸免。就在此漏洞被披露之后的9月6日,就有白帽子发现360手机浏览器、360手机卫士等安卓应用同样存在系统漏洞问题,并将此漏洞上传到乌云平台并提醒奇虎360及时修补。
对于此次漏洞,包括腾讯手机管家等安全厂商向用户及媒体给出了正确的判断和引导,并通过官方渠道发布了针对此次漏洞危害性的分析,建议用户只要谨慎打开陌生网址、使用专业手机安全软件便可做到防御。乌云漏洞平台创始人方小顿也表示,此次发现的安卓应用漏洞并非新问题,早在2011年就已经存在,各大浏览器等安卓应用普遍存在这个问题,涉及到浏览功能的产品也会受到影响。
这位安全专家在撰文中对奇虎360公司的新闻予以了谴责,认为此次漏洞风波再一次说明了“猪妖”的强大——此漏洞大体在1月份在该公司的产品里进行一些修补策略,于是基于他的“易攻击”性,怎么可能放弃这个机会呢?于是大势攻击竞争对手产品存在漏洞。“成也'猪妖'、败也'猪妖'”,他们忽视了另外一句名言“猪一样的队友”! 一个“str2.contains”就把自己给坑了~~~
谈及此事,诸多业内人士也纷纷表示愤慨,认为奇虎360这种“借题发挥,恐吓用户、恶意打击竞争对手”的做法,对用户及互联网安全行业发展将产生极大危害,其破坏性远远大于产品漏洞本身。
|
|
|
|
【对““挂马”疑云风波平,安全专家解除漏洞警报”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
