近日,一個存在于谷歌眼鏡的安全漏洞被發現,能夠讓攻擊者輕易執行任意代碼。事實上,這個漏洞可以追溯到去年下半年安全研究人員在android 4.1系統中發現的javascript api錯誤。這個功能為“addjavascriptinterface()”,被設計為允許開發者通過有限範圍的javascript來通路java代 碼,但是由于存在bug,隻需建立一個運作代碼的webview,就能夠通路已經損壞的javascript功能。
簡單地說,便是通過這個漏洞獲得最高javascript權限。
谷歌方面也曾經承認android 4.1中的這個漏洞,表示攻擊者能夠以意想不到的方式來操縱主機應用程式,随意執行java代碼。在開源安全漏洞檢測工具metasploit最近的測試中,發現這個漏洞依然存在于最新的谷歌眼鏡xe12軟體版本中。
該漏洞對于谷歌眼鏡的影響還是非常大的,因為很多android免費應用程式都要使用webview來加載html内容(如開發者網站、說明及廣告),如果攻擊者可以通過惡意的javascript代碼來肆意修改html内容,将會對網站營運者及使用者造成重大損失。
顯然,這是谷歌眼鏡目前存在的一個安全隐患,但谷歌方面并未發表聲明,我們希望漏洞能夠盡快被修補。
來源:androidauthority
![Java String.format方法的簡單使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)