外设天下讯 2月13日消息,作为引领可穿戴式智能设备的创新产品,虽然谷歌眼镜的火热程度依然不减,不过谷歌眼镜也并不是十全十美,近日就有人发现了运行在谷歌眼镜上的Android操作系统的一个安全漏洞,该漏洞允许黑客运行任何自己设计的代码。 其实真正的漏洞可以追溯到去年,当时有研究人员发现使用Android 4.1 Jelly Bean中API接口的应用程序可以通过Javascript来生成漏洞,其中存在问题的函数为addJavascriptInterface()。该函数能够使Java代码在部分范围内有效,不过在API级别低于16时该功能将会失效。而如果有黑客想要生成一个安全漏洞的话,便可以创建一个WebView然后运行有效的代码来禁用该Javascript函数。 在官方API说明文档中,谷歌也明确提醒用户使用addJavascriptInterface()时,对于那些采用Android 4.1 SDK编译的应用程序来说,攻击者可能能够在未获得主程序允许的情况下使用主程序无法控制的方法来运行Java代码。 开源安全漏洞检测工具Metasploit日前也更新了其addJavascriptInterface()检测模块,能够防止接入原生Android浏览器以及一些源自百度和QQ的浏览器。在评价最新的Metasploit检测模块时,Joshua J.Drake还提到了该漏洞同样适用于谷歌眼镜XE12升级,这意味着黑客利用该漏洞同样可以破解谷歌眼镜。 由于很多免费Android软件都在使用WebView来加载HTML内容,因此如果HTML内容经由某种方式被人为篡改或被恶意JavaScript攻击的话,那么WebView就能够被用来强制执行黑客的某些代码,而对于谷歌眼镜来说,这样的攻击方式理论上也是可行的。 而根据安全组织MWR LABS去年年底发布的一项报告,目前很多被广告网络使用的SDK开发工具都很容易被利用。 在很多好莱坞大片中经常有黑客轻易攻陷政府网络或者控制人们手机的桥段,而在实际生活中,这甚至比人们想象的还要简单。 |
