ITBear旗下自媒体矩阵:

360预警:Webview通用漏洞让手机邮件成钓鱼帮凶

   时间:2015-01-10 10:08:09 来源:互联网编辑:星辉 发表评论无障碍通道

1月9日,360互联网安全中心首家发出安卓客户端通用钓鱼预警。所有使用Webview组件的移动应用都会受到影响。从目前得到的技术分析来看,“受灾”最严重的是21CN、139及QQ等手机邮件客户端。网友在使用存在漏洞的客户端时,在打开邮件和附件的时候会被无提示重新定向至钓鱼网址。360手机安全专家表示,在漏洞修复前打开邮箱要谨慎,同时可使用360手机卫士对可能出现的钓鱼诈骗进行拦截。

图:点击邮件附件后跳转到任意网址

据了解,该漏洞最早由国外安全研究人员发现,名为cve-2014-4925漏洞,此后360手机安全专家经过分析测试,发现该漏洞在不同场景下会演变成一个通用漏洞,影响所有使用Webview组件的移动应用,甚至可能影响到iOS客户端。

令人担忧的是,这个漏洞会影响到几乎所有的安卓邮件客户端。具体表现为,向指定用户(或用户组)发送一封邮件,只要用户在存在漏洞的邮件客户端打开邮件或附件,会被无提示重定向到恶意钓鱼网站。

360手机安全专家经过分析后发现,为了防止客户端被XSS或钓鱼欺骗攻击,许多邮件客户端在使用Webview组件解析邮件内容时都禁止运行Javascript脚本,包括Webview组件。但如果邮件内容未经过滤,邮件客户端直接解析原始的HTML标签邮件内容,就可以通过 标签可以实现钓鱼攻击。

现在移动互联网和智能机的发展非常迅速,对于商务人士来说,用手机收发邮件已经变成工作的一部分。但如有别有用心的人通过此漏洞群发邮件,将链接定向到钓鱼网址,套取受害者的个人隐私,如手机号码、身份证、网银、网络支付的账号密码等。都会在造成连带伤害。电信骚扰自不必说,网银、支付信息的泄露更是直接威胁到财产安全。

虽然漏洞波及面甚广,但360手机安全专家指出,开发者在使用webview组件开发需禁止脚本环境的高安全级别功能时,针对解析内容的 标签进行过滤,就可解决这一问题。但在漏洞修复前,经常使用手机收发邮件的网民则需要提高警惕,在跳转到陌生页面时不要输入任何隐私信息。为进一步规避风险,也可使用360手机卫士等安全软件对钓鱼网址进行提示及拦截。

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  RSS订阅  |  开放转载  |  滚动资讯  |  争议稿件处理  |  English Version