其實(shí)真正的漏洞可以追溯到去年，當(dāng)時(shí)有研究人員發(fā)現(xiàn)使用Android 4.1 Jelly Bean中API接口的應(yīng)用程序可以通過(guò)Javascript來(lái)生成漏洞，其中存在問(wèn)題的函數(shù)為addJavascriptInterface()。該函數(shù)能夠使Java代碼在部分范圍內(nèi)有效，不過(guò)在API級(jí)別低于16時(shí)該功能將會(huì)失效。而如果有黑客想要生成一個(gè)安全漏洞的話，便可以創(chuàng)建一個(gè)WebView然后運(yùn)行有效的代碼來(lái)禁用該Javascript函數(shù)。

　　在官方API說(shuō)明文檔中，谷歌也明確提醒用戶使用addJavascriptInterface()時(shí)，對(duì)于那些采用Android 4.1 SDK編譯的應(yīng)用程序來(lái)說(shuō)，攻擊者可能能夠在未獲得主程序允許的情況下使用主程序無(wú)法控制的方法來(lái)運(yùn)行Java代碼。
 

　　開(kāi)源安全漏洞檢測(cè)工具M(jìn)etasploit日前也更新了其addJavascriptInterface()檢測(cè)模塊，能夠防止接入原生Android瀏覽器以及一些源自百度和QQ的瀏覽器。在評(píng)價(jià)最新的Metasploit檢測(cè)模塊時(shí)，Joshua J.Drake還提到了該漏洞同樣適用于谷歌眼鏡XE12升級(jí)，這意味著黑客利用該漏洞同樣可以破解谷歌眼鏡。
 

　　由于很多免費(fèi)Android軟件都在使用WebView來(lái)加載HTML內(nèi)容，因此如果HTML內(nèi)容經(jīng)由某種方式被人為篡改或被惡意JavaScript攻擊的話，那么WebView就能夠被用來(lái)強(qiáng)制執(zhí)行黑客的某些代碼，而對(duì)于谷歌眼鏡來(lái)說(shuō)，這樣的攻擊方式理論上也是可行的。
 

　　而根據(jù)安全組織MWR Labs去年年底發(fā)布的一項(xiàng)報(bào)告，目前很多被廣告網(wǎng)絡(luò)使用的SDK開(kāi)發(fā)工具都很容易被利用。
 

　　在很多好萊塢大片中經(jīng)常有黑客輕易攻陷政府網(wǎng)絡(luò)或者控制人們手機(jī)的橋段，而在實(shí)際生活中，這甚至比人們想象的還要簡(jiǎn)單。