利用旧版Android漏洞的E-Z-2-Use攻击代码发布

  利用 Android 操作系统 WebView 编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架 Metasploit 中。漏洞影响 Android 4.2 之前的版本,Google 在 Android 4.2 中修正了这个漏洞,但根据官方统计,超过五成用户仍然使用存在漏洞的旧版本。

  WebView 的漏洞允许攻击者在 Android 浏览器和其它应用中注入恶意 JavaScript 代码,获得与目标程序相同的访问权限,攻击者可以开启一个 shell 窗口访问受害者的文件系统、照相机,地理位置数据、SD 卡数据和地址簿。漏洞还可通过不安全网络的中间人攻击触发。漏洞存在于 Android 系统中,而不是私有的 GMS 应用平台,只有更新系统才能修正漏洞。安全研究人员 Tod Beardsley 希望,攻击代码的披露能迫使供应商尽快升级系统。

添加评论

Loading