研究者發(fā)現(xiàn)HTML5開發(fā)者的錯(cuò)誤會(huì)產(chǎn)生代碼注入漏洞,并導(dǎo)致用戶數(shù)據(jù)泄漏。
近日在加州舉行的移動(dòng)安全技術(shù)大會(huì)上�,Syracuse大學(xué)的研究者的研究報(bào)告 顯示HTML5移動(dòng)應(yīng)用可能會(huì)給企業(yè)帶來新的安全風(fēng)險(xiǎn)�����。開發(fā)者的錯(cuò)誤可能導(dǎo)致HTML5應(yīng)用自動(dòng)執(zhí)行攻擊者通過Wifi藍(lán)牙或短信發(fā)送的惡意代碼 ����。
ICSA實(shí)驗(yàn)室的移動(dòng)安全專家Jack Walsh指出,惡意代碼可以偷偷竊取受害者的敏感信息并發(fā)送給攻擊者�����,這針對(duì)HTML5的惡意代碼還能偶像蠕蟲一樣傳播�,自動(dòng)向受害者的聯(lián)系人發(fā)送包含惡意代碼的短信���。
HTML5移動(dòng)應(yīng)用的安全缺陷危害很大�����,根據(jù)Gartner的報(bào)告�����,由于跨平臺(tái)的特性����,HTML5應(yīng)用的普及很快,2016年超過半數(shù)的移動(dòng)應(yīng)用都將基于HTML5.
對(duì)于開發(fā)者來說�,選擇正確的API非常重要,因?yàn)樽钚碌腍TML5標(biāo)準(zhǔn)�����、樣式表CSS和JavaScript能夠?qū)?shù)據(jù)和代碼混合執(zhí)行����。
如果開發(fā)者只想處理數(shù)據(jù),但使用了錯(cuò)誤的API�����,代碼也會(huì)被自動(dòng)執(zhí)行�,這就留下了巨大的安全隱患。如果混合代碼的數(shù)據(jù)來自非受信方�����,HTML5移動(dòng)應(yīng)用就有可能被注入惡意代碼并執(zhí)行�����。
其實(shí)開發(fā)者錯(cuò)誤導(dǎo)致的安全風(fēng)險(xiǎn)不僅僅限于HTML5應(yīng)用, 事實(shí)上HTML5應(yīng)用與web應(yīng)用的安全機(jī)制并無本質(zhì)區(qū)別�。
攻擊者向HTML5應(yīng)用注入惡意代碼的方法有很多,包括通過WiFi熱點(diǎn)發(fā)送SSID����,通過藍(lán)牙數(shù)據(jù)交換、通過QR二維碼�,JPEG圖片或者M(jìn)P3音樂文檔的元數(shù)據(jù)等。
為了實(shí)現(xiàn)跨平臺(tái)��,HTML5需要通過中間件框架來連接底層系統(tǒng)資源����,例如文件系統(tǒng)、設(shè)備傳感器和攝像頭等��。Android�、iOS和Windows Phone有不同的容器用于訪問服務(wù)�����,因此開發(fā)者通常將底層工作交給框架開發(fā)者來處理����。
常見的框架包括PhoneGap���、RhoMobile和Appcelerator等,不過移動(dòng)開發(fā)框架本身的安全性并不容樂觀��,研究者在調(diào)查了186個(gè)PhoneGap的插件后����,發(fā)現(xiàn)11個(gè)都存在代碼注入漏洞。
咨詢熱線:0791-87557233
