android手機安全：被攻陷的一個場景

版權聲明：本文為半吊子子全棧工匠（wireless_com，同公衆号)原創文章，未經允許不得轉載。 https://blog.csdn.net/wireless_com/article/details/40303381

 到處找WIFI,對于我們的手機控來說是相當普遍的了。如果你發現了有可用的wifi，并選擇了浏覽器連接配接，當浏覽器出現一個web 頁面的時候，你可能已經中招了。

同樣，當你的手機使用一些免費應用的時候，經常會彈出一些廣告頁，這些廣告的應用架構如果使用了web的前端技術，尤其是javascript，你也可能中招了。

這一切都禍起Javascript在android addJavascriptInterface API中的遠端代碼執行的Bug（CVE-2012-6636），這個Bug允許Javascript代碼獲得通路系統的更大權限。當app第一次運作時，它們通過HTTP下載下傳javascript庫。也就是說，App通常不安全地下載下傳了未驗證的javascript代碼，而這些代碼運作在可執行任意代碼的環境中。

盡管權限提升技術在Android上很普遍（獲得裝置的“root”權限），但遠端代碼執行同樣是一種罕見且危險得多的漏洞，它允許攻擊者不經授權就在使用者裝置上執行特定代碼。

我們應該養成“遠端代碼執行”與“root權限”在嚴重等級上等價的習慣，因為一個下定決心的黑客将可能從一個地方蹦到另一個地方，擷取裝置的完全控制權。

通俗地說，避免類似場景至少要采用下列兩個措施：

1）将系統更新到andorid 4.2以上

2）盡量少用含有第三方廣告的應用