美國科技媒體Ars Technica 報導,Android 開源項目AOSP 下的開源、基於Webkit 的原生瀏覽器內部包含嚴重的隱私漏洞。用戶瀏覽到包含有惡意代碼的網站時將被感染,然後在瀏覽其他網站的時候一段特殊的JavaScript 代碼將被注入到這些網站當中。之後,代碼即可讀取用戶在密碼框、其他信息框中輸入的信息,或者乾脆直接劫持用戶使用軟鍵盤輸入的一切內容。
一般來說瀏覽器使用一個名為Same Origin Policy(SOP)的機制來控制不同網站來源的不同內容,SOP 機制使用不同的HTTP 或HTTPS 協議、域名以及接口等作為評判不同的網站來源。而本文所提到的於今年9 月1 日發現的漏洞,可以使得惡意網站的製作者在網頁中加入特殊的JavaScript 代碼從而跳過SOP 機制的檢測,進而被無限制地通過用戶的Android 原生瀏覽器「移植」到其他的網站中。
這個 Bug 是 AOSP 瀏覽器的專屬 bug。 Google 方面得知此消息之後對旗下的Android 版本中包含的AOSP 瀏覽器進行了檢測,給出的反饋是Android 4.4 KitKat 以及更高的小版本下的AOSP 瀏覽器,以及Chrome、Chrome Beta Android 版本瀏覽器不包含這個bug。對於較早的Android 版本,Google 已經給出了更新補丁。
頭圖:Android Next
資料來源:TECH2IPO
請按此登錄後留言。未成為會員? 立即註冊