360预警:Webview通用漏洞让手机邮件成钓鱼帮凶

文章摘要:  1月9日,360互联网安全中心首家发出安卓客户端通用钓鱼预警。所有使用Webview组件的移动应用都会受到影响。从目前得到的技术分析来看,“受灾”最严重的是21CN、139及QQ等手机邮件客户端。网友在使用存在漏洞的客户端时,在打开邮件和附件的时候会被无提示重新定向至钓鱼网址。360手机安全专家表示,在漏洞修复前打开邮箱要谨慎,同时可使用360手机卫士对可能出现的钓鱼诈骗进行拦截。

  1月9日,360互联网安全中心首家发出安卓客户端通用钓鱼预警。所有使用Webview组件的移动应用都会受到影响。从目前得到的技术分析来看,“受灾”最严重的是21CN、139及QQ等手机邮件客户端。网友在使用存在漏洞的客户端时,在打开邮件和附件的时候会被无提示重新定向至钓鱼网址。360手机安全专家表示,在漏洞修复前打开邮箱要谨慎,同时可使用360手机卫士对可能出现的钓鱼诈骗进行拦截。

360预警:Webview通用漏洞让手机邮件成钓鱼帮凶360预警:Webview通用漏洞让手机邮件成钓鱼帮凶

图:点击邮件附件后跳转到任意网址

  据了解,该漏洞最早由国外安全研究人员发现,名为cve-2014-4925漏洞,此后360手机安全专家经过分析测试,发现该漏洞在不同场景下会演变成一个通用漏洞,影响所有使用Webview组件的移动应用,甚至可能影响到iOS客户端。

  令人担忧的是,这个漏洞会影响到几乎所有的安卓邮件客户端。具体表现为,向指定用户(或用户组)发送一封邮件,只要用户在存在漏洞的邮件客户端打开邮件或附件,会被无提示重定向到恶意钓鱼网站。

  360手机安全专家经过分析后发现,为了防止客户端被XSS或钓鱼欺骗攻击,许多邮件客户端在使用Webview组件解析邮件内容时都禁止运行Javascript脚本,包括Webview组件。但如果邮件内容未经过滤,邮件客户端直接解析原始的HTML标签邮件内容,就可以通过 标签可以实现钓鱼攻击。

  现在移动互联网和智能机的发展非常迅速,对于商务人士来说,用手机收发邮件已经变成工作的一部分。但如有别有用心的人通过此漏洞群发邮件,将链接定向到钓鱼网址,套取受害者的个人隐私,如手机号码、身份证、网银、网络支付的账号密码等。都会在造成连带伤害。电信骚扰自不必说,网银、支付信息的泄露更是直接威胁到财产安全。

  虽然漏洞波及面甚广,但360手机安全专家指出,开发者在使用webview组件开发需禁止脚本环境的高安全级别功能时,针对解析内容的 标签进行过滤,就可解决这一问题。但在漏洞修复前,经常使用手机收发邮件的网民则需要提高警惕,在跳转到陌生页面时不要输入任何隐私信息。为进一步规避风险,也可使用360手机卫士等安全软件对钓鱼网址进行提示及拦截。

特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

本站尊重版权,转载目的在于传递更多信息,若内容侵犯您的权益,请及时联系我们,本站将及时处理。

扫一扫,分享到微信

猜你喜欢

微信公众号

微信公众号