当前位置:网站首页 >> 娱乐

360预警Webview通用漏洞让手机邮

时间:2019-05-15 04:15:03 来源:互联网 阅读:0次

1月9日,360互联安全中心首家发出安卓客户端通用钓鱼预警。所有使用Webview组件的移动应用都会遭到影响。从目前得到的技术分析来看,受灾严重的是21CN、139及等邮件客户端。友在使用存在漏洞的客户端时,在打开邮件和附件的时候会被无提示重新定向至钓鱼址。360安全专家表示,在漏洞修复前打开邮箱要谨慎,同时可使用360卫士对可能出现的钓鱼诈骗进行拦截。

图:点击邮件附件后跳转到任意址

据了解,该漏洞早由国外安全研究人员发现,名为cve-漏洞,此后360安全专家经过分析测试,发现该漏洞在不同场景下会演变成一个通用漏洞,影响所有使用Webview组件的移动应用,乃至可能影响到iOS客户端。

使人担忧的是,这个漏洞会影响到几乎所有的安卓邮件客户端。具体表现为,向指定用户(或用户组)发送一封邮件,只要用户在存在漏洞的邮件客户端打开邮件或附件,会被无提示重定向到恶意钓鱼站。

360安全专家经过分析后发现,为了避免客户端被XSS或钓鱼欺骗攻击,许多邮件客户端在使用Webview组件解析邮件内容时都禁止运行Javascript脚本,包括Webview组件。但如果邮件内容未经过滤,邮件客户端直接解析原始的HTML标签邮件内容,就可以通过 标签可以实现钓鱼攻击。

现在移动互联和智能机的发展非常迅速,对于商务人士来说,用收发邮件已变成工作的一部分。但如有别有用心的人通过此漏洞群发邮件,将链接定向到钓鱼址,套取受害者的个人隐私,如号码、身份证、银、络支付的账号密码等。都会在造成连带伤害。电信骚扰自没必要说,银、支付信息的泄漏更是直接威逼到财产安全。

虽然漏洞波及面甚广,但360安全专家指出,开发者在使用webview组件开发需禁止脚本环境的高安全级别功能时,针对解析内容的 标签进行过滤,就可解决这一问题。但在漏洞修复前,常常使用收发邮件的民则需要提高警惕,在跳转到陌生页面时不要输入任何隐私信息。为进一步规避风险,也可使用360卫士等安全软件对钓鱼址进行提示及拦截。

治疗痛经的简单方法
怎么样治疗月经不调
月经过多贫血吃什么好

相关文章

一周热门

热点排行

热门精选

友情链接: 拆迁安置 新零售模式 行业资讯
媒体合作:

Copyright (c) 2011 八零CMS 版权所有 Inc.All Rights Reserved. 备案号:京ICP0000001号

RSS订阅网站地图