Red de conocimientos turísticos - Información de alquiler - Por qué digo que Android apesta

Por qué digo que Android apesta

Se han quejado los problemas de seguridad de Android, incluido el mercado de aplicaciones inseguro, la última vulnerabilidad de ejecución remota de comandos y su mecanismo de permisos. En resumen, es un desastre, pero todavía son tolerables. siempre está En la estandarización, las principales vulnerabilidades se abordarán rápidamente y los problemas de permisos mejorarán lentamente.

De lo que voy a hablar hoy es de una vulnerabilidad muy viable en Android. La vulnerabilidad de ejecución remota de comandos que acabo de mencionar también cubre todas las aplicaciones que involucran navegadores, incluidos QQ, Weibo, UC Browser, lo que quiero. Esta vez también se habla de la vulnerabilidad del navegador, llamada UXSS.

En primer lugar, aprendamos sobre UXSS y WebView

En términos sencillos

UXSS: cuando visita el sitio web A, el sitio web A puede obtener su información en el sitio web. B en todos los dominios.

WebView: el componente del navegador de Android, que es necesario para mostrar la página web.

¿Cuál es su relación?

La capa inferior de Webview es webkit, pero es un webkit más antiguo.

Esto plantea un problema. Cuando las personas usan versiones antiguas de cosas, pueden estar pensando en la estabilidad. Otra cosa a la que prestar atención es la seguridad.

Las versiones antiguas de webkit tienen una gran cantidad de vulnerabilidades UXSS reveladas (es decir, POC público).

Hablemos del proceso de ataque UXSS

En circunstancias normales, visitaremos varios sitios web. Por ejemplo, los sitios web que visito con frecuencia son Zhihu y Wuyun.

Si un día, el malvado Kenshin quiere atacar mi cuenta de Zhihu a través de la vulnerabilidad UXSS, entonces solo necesita insertar un fragmento de JS en el sitio web de Wuyun para ejecutar el código de vulnerabilidad UXSS para secuestrar la sesión de mi Cuenta Zhihu.

Usuarios normales==request==> wooyun.org

¡Listo, sesión iniciada!

No solo navegadores, sino también WeChat, QQ, Weibo y todos Aplicaciones que implican navegación web.

Dos problemas entre dominios en la versión móvil de QQ para Android

Para la vulnerabilidad anterior, puede insertar directamente el código de la vulnerabilidad anterior en cualquier página web y enviarlo a la página de su amigo. URL para obtener su permiso QQ.

Vulnerabilidad entre dominios de la última versión de Android de UC Browser (4.4) (no restringida por la versión del sistema)

Mirando esto, pertenece al navegador que normalmente usamos. a muchos sitios web, lo que es más propicio para los ataques. Puede obtener directamente las identidades de todos los sitios web en los que ha iniciado sesión en un solo ataque.

Hay muchos más, todos ellos causados ​​por la versión baja de webkit.

上篇: ¿Qué aire acondicionado Zhihu de Mitsubishi Electric Mitsubishi Heavy Industries es mejor? 下篇: No se puede acceder a la contraseña de configuración ftp del enrutador Asus