作為引領(lǐng)可穿戴式智能設(shè)備的創(chuàng)新產(chǎn)品,雖然谷歌眼鏡的火熱程度依然不減,不過(guò)谷歌眼鏡也并不是十全十美,近日就有人發(fā)現(xiàn)了運(yùn)行在谷歌眼鏡上的Android操作系統(tǒng)的一個(gè)安全漏洞,該漏洞允許黑客運(yùn)行任何自己設(shè)計(jì)的代碼。
其實(shí)真正的漏洞可以追溯到去年,當(dāng)時(shí)有研究人員發(fā)現(xiàn)使用Android 4.1 Jelly Bean中API接口的應(yīng)用程序可以通過(guò)Javascript來(lái)生成漏洞,其中存在問(wèn)題的函數(shù)為addJavascriptInterface()。該函數(shù)能夠使Java代碼在部分范圍內(nèi)有效,不過(guò)在API級(jí)別低于16時(shí)該功能將會(huì)失效。而如果有黑客想要生成一個(gè)安全漏洞的話,便可以創(chuàng)建一個(gè)WebView然后運(yùn)行有效的代碼來(lái)禁用該Javascript函數(shù)。
其實(shí)真正的漏洞可以追溯到去年,當(dāng)時(shí)有研究人員發(fā)現(xiàn)使用Android 4.1 Jelly Bean中API接口的應(yīng)用程序可以通過(guò)Javascript來(lái)生成漏洞,其中存在問(wèn)題的函數(shù)為addJavascriptInterface()。該函數(shù)能夠使Java代碼在部分范圍內(nèi)有效,不過(guò)在API級(jí)別低于16時(shí)該功能將會(huì)失效。而如果有黑客想要生成一個(gè)安全漏洞的話,便可以創(chuàng)建一個(gè)WebView然后運(yùn)行有效的代碼來(lái)禁用該Javascript函數(shù)。

在官方API說(shuō)明文檔中,谷歌也明確提醒用戶使用addJavascriptInterface()時(shí),對(duì)于那些采用Android 4.1 SDK編譯的應(yīng)用程序來(lái)說(shuō),攻擊者可能能夠在未獲得主程序允許的情況下使用主程序無(wú)法控制的方法來(lái)運(yùn)行Java代碼。
開(kāi)源安全漏洞檢測(cè)工具M(jìn)etasploit日前也更新了其addJavascriptInterface()檢測(cè)模塊,能夠防止接入原生Android瀏覽器以及一些源自百度和QQ的瀏覽器。在評(píng)價(jià)最新的Metasploit檢測(cè)模塊時(shí),Joshua J.Drake還提到了該漏洞同樣適用于谷歌眼鏡XE12升級(jí),這意味著黑客利用該漏洞同樣可以破解谷歌眼鏡。
由于很多免費(fèi)Android軟件都在使用WebView來(lái)加載HTML內(nèi)容,因此如果HTML內(nèi)容經(jīng)由某種方式被人為篡改或被惡意JavaScript攻擊的話,那么WebView就能夠被用來(lái)強(qiáng)制執(zhí)行黑客的某些代碼,而對(duì)于谷歌眼鏡來(lái)說(shuō),這樣的攻擊方式理論上也是可行的。
而根據(jù)安全組織MWR Labs去年年底發(fā)布的一項(xiàng)報(bào)告,目前很多被廣告網(wǎng)絡(luò)使用的SDK開(kāi)發(fā)工具都很容易被利用。
在很多好萊塢大片中經(jīng)常有黑客輕易攻陷政府網(wǎng)絡(luò)或者控制人們手機(jī)的橋段,而在實(shí)際生活中,這甚至比人們想象的還要簡(jiǎn)單。