攻击者能利用开放WiFi向Android应用注入恶意程序

标签: 攻击 利用 开放 | 发表时间:2013-09-29 19:49 | 作者:
出处:http://news.cnblogs.com/

安全研究人员称,旧版本 Android 系统发现的一个漏洞,可以让攻击者在终端用户智能手机上 执行恶意代码。漏洞存在于一个广泛使用的应用程序接口 WebView 上, 开发者可以利用该接口在应用中嵌入 Web 内容。研究人员发现,大多数使用该接口的程序没有正确使用安全链接下载 Web 内容。

因此,攻击者能够利用开放 WiFi 网站,劫持连接,向 Android 应用注入恶意 JavaScript 代码。该漏洞主要影响 Android 4.2 之前的系统,Android 4.2 加入了新的安全功能,限制了调用脚本对象的方法。

本文链接

相关 [攻击 利用 开放] 推荐:

攻击者能利用开放WiFi向Android应用注入恶意程序

- - 博客园_新闻
安全研究人员称,旧版本 Android 系统发现的一个漏洞,可以让攻击者在终端用户智能手机上 执行恶意代码. 漏洞存在于一个广泛使用的应用程序接口 WebView 上, 开发者可以利用该接口在应用中嵌入 Web 内容. 研究人员发现,大多数使用该接口的程序没有正确使用安全链接下载 Web 内容.

黑客利用社交工程技术发动攻击

- 远 - Solidot
Burberry Scarf 写道 "《华尔街日报》报导,当防火墙日益严密,网络罪犯或黑客开始借助低技术方法渗透进安全系统. 克里斯·派滕(Chris Patten)向一家大型投资管理公司报告称,他即将离婚,担心妻子用假名开设了账户. 这种情况完全可能,但在这个案例中,派滕却撒了谎. 不疑有诈的公司客服代表将用户账号和其他详细信息交给了派滕,令人感到后怕.

研究人员利用供应链攻击入侵 35 家科技公司

- - 奇客Solidot–传递最新科技情报
一位安全研究员设法利用一种新颖的软件供应链攻击 入侵了 35 家大型科技公司的内部系统,这些公司包括了 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber. 这次攻击利用了开源生态系统的一个设计缺陷:依赖关系混乱. Alex Birsan 注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包,他想知道如果他创建一个同名的公开的 npm 包,那么软件在构建时是优先使用私有的还是公开的版本.

利用旧版Android漏洞的E-Z-2-Use攻击代码已在Metasploit发布

- - FreeBuf.COM
利用旧版Android漏洞的E-Z-2-Use攻击代码发布利用Android操作系统WebView编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架Metasploit中. 漏洞影响Android 4.2之前的版本,Google在Android 4.2中修正了这个漏洞,但根据官方统计,超过五成用户仍然使用存在漏洞的旧版本.

session fixation攻击

- - 互联网 - ITeye博客
什么是session fixation攻击. Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的. 在维基百科中专门有个词条 http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻击情景,防范策略参考原文.

浅谈Ddos攻击攻击与防御

- - 80sec
三 常见ddos攻击及防御. 在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不清楚因为什么原因会遭遇这种无耻的攻击. 因为我们本身并不从事这种类型的攻击,这种攻击技术一般也是比较粗糙的,所以讨论得比较少,但是既然发生了这样的攻击我们觉得分享攻击发生后我们在这个过程中学到得东西,以及针对这种攻击我们的想法才能让这次攻击产生真正的价值,而并不是这样的攻击仅仅浪费大家的时间而已.

警告攻击者

- ZhaoNiuPai - 月光微博客
  广东省深圳市福田区电信ADSL(59.40.120.63)的这位用户,凡事都有个度,事不过三,如果你再对我博客的AdSense进行攻击的话,我可就要报警了,相信深圳公安局根据这个IP抓到你是一件非常容易的事情,想黑别人,千万不要把自己黑进监狱. 分类: 网络日志 | 添加评论(5). 关闭服务器HTTPERR错误日志  (2011-1-12 16:52:8).

Apache防止攻击

- - 小彰
为了防止恶意用户对Apache进行攻击,我们需要安装mod_security这个安全模块. mod_security 1.9.x模块的下载与安装. 下载地址: http://www.modsecurity.org/download/index.html. 建议使用1.9.x,因为2.x的配置指令与1.x完全不同,解压后进入解压目录,执行:.

前端xss攻击

- - SegmentFault 最新的文章
实习的时候在项目中有接触过关于xss攻击的内容,并且使用了项目组中推荐的一些常用的防xss攻击的方法对项目进行了防攻击的完善. 但一直没有时间深入了解这东西,在此,做一个简单的梳理. xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入的恶意html代码会被执行,从而达到恶意用户的特殊目的.

利用 Google Voice 帮助 AdWords 客户进行电话营销的 Call Metrics 全面开放

- Metalrush - 谷奥——探寻谷歌的奥秘
Google前一段已经对Call Metrics进行了测试. 今天他们宣布这项服务全面向所有美国和加拿大的AdWords客户开放. 不管在电脑上还是手机上点击AdWords广告里的电话号码的话,都会利用Google Voice技术启动一个对双方都免费的特殊电话号码,一来可以让双方通话交流,二来可以让AdWords广告商在自己的后台管理里看到每天打进了几个电 话,每次电话的平均时长是多久.