研究者發(fā)現(xiàn)HTML5開發(fā)者的錯(cuò)誤會(huì)產(chǎn)生代碼注入漏洞，并導(dǎo)致用戶數(shù)據(jù)泄漏。

近日在加州舉行的移動(dòng)安全技術(shù)大會(huì)上，Syracuse大學(xué)的研究者的研究報(bào)告顯示HTML5移動(dòng)應(yīng)用可能會(huì)給企業(yè)帶來(lái)新的安全風(fēng)險(xiǎn)。開發(fā)者的錯(cuò)誤可能導(dǎo)致HTML5應(yīng)用自動(dòng)執(zhí)行攻擊者通過Wifi藍(lán)牙或短信發(fā)送的惡意代碼。

ICSA實(shí)驗(yàn)室的移動(dòng)安全專家Jack Walsh指出，惡意代碼可以偷偷竊取受害者的敏感信息并發(fā)送給攻擊者，這針對(duì)HTML5的惡意代碼還能偶像蠕蟲一樣傳播，自動(dòng)向受害者的聯(lián)系人發(fā)送包含惡意代碼的短信。

HTML5移動(dòng)應(yīng)用的安全缺陷危害很大，根據(jù)Gartner的報(bào)告，由于跨平臺(tái)的特性，HTML5應(yīng)用的普及很快，2016年超過半數(shù)的移動(dòng)應(yīng)用都將基于HTML5.

對(duì)于開發(fā)者來(lái)說(shuō)，選擇正確的API非常重要，因?yàn)樽钚碌腍TML5標(biāo)準(zhǔn)、樣式表CSS和JavaScript能夠?qū)��?shù)據(jù)和代碼混合執(zhí)行。

如果開發(fā)者只想處理數(shù)據(jù)，但使用了錯(cuò)誤的API，代碼也會(huì)被自動(dòng)執(zhí)行，這就留下了巨大的安全隱患。如果混合代碼的數(shù)據(jù)來(lái)自非受信方，HTML5移動(dòng)應(yīng)用就有可能被注入惡意代碼并執(zhí)行。

其實(shí)開發(fā)者錯(cuò)誤導(dǎo)致的安全風(fēng)險(xiǎn)不僅僅限于HTML5應(yīng)用， 事實(shí)上HTML5應(yīng)用與web應(yīng)用的安全機(jī)制并無(wú)本質(zhì)區(qū)別。

攻擊者向HTML5應(yīng)用注入惡意代碼的方法有很多，包括通過WiFi熱點(diǎn)發(fā)送SSID，通過藍(lán)牙數(shù)據(jù)交換、通過QR二維碼，JPEG圖片或者M(jìn)P3音樂文檔的元數(shù)據(jù)等。

為了實(shí)現(xiàn)跨平臺(tái)，HTML5需要通過中間件框架來(lái)連接底層系統(tǒng)資源，例如文件系統(tǒng)、設(shè)備傳感器和攝像頭等。Android、iOS和Windows Phone有不同的容器用于訪問服務(wù)，因此開發(fā)者通常將底層工作交給框架開發(fā)者來(lái)處理。

常見的框架包括PhoneGap、RhoMobile和Appcelerator等，不過移動(dòng)開發(fā)框架本身的安全性并不容樂觀，研究者在調(diào)查了186個(gè)PhoneGap的插件后，發(fā)現(xiàn)11個(gè)都存在代碼注入漏洞。