|
美国科技媒体 Ars Technica 报道,Android 开源项目 AOSP 下的开源、基于
Webkit 的原生微端内部包含严重的隐私漏洞。用户浏览到包含有恶意代码的网站时将被感染,然后在浏览其他网站的时候一段特殊的 JavaScript 代码将被注入到这些网站当中。之后,代码即可读取用户在密码框、其他信息框中输入的信息,或者干脆直接劫持用户使用软键盘输入的一切内容。
一般来说微端使用一个名为 Same Origin Policy(SOP)的机制来控制不同网站来源的不同内容,SOP 机制使用不同的 HTTP 或 HTTPS 协议、域名以及接口等作为评判不同的网站来源。而本文所提到的于今年 9 月 1 日发现的漏洞,可以使得恶意网站的制作者在网页中加入特殊的 JavaScript 代码从而跳过 SOP 机制的检测,进而被无限制地通过用户的 Android 原生微端「移植」到其他的网站中。
这个 Bug 是 AOSP 微端的专属 bug。Google 方面得知此消息之后对旗下的 Android 版本中包含的 AOSP 微端进行了检测,给出的反馈是 Android 4.4 KitKat 以及更高的小版本下的 AOSP 微端,以及 Chrome、Chrome Beta Android 版本微端不包含这个 bug。 对于较早的
Android 版本,Google 已经给出了更新补丁。
|
收藏