黑客可通過 JavaScript 漏洞破解谷歌眼鏡

近日，一個存在于谷歌眼鏡的安全漏洞被發現，能夠讓攻擊者輕易執行任意代碼。事實上，這個漏洞可以追溯到去年下半年安全研究人員 在Android 4.1系統中發現的JavaScript API錯誤。這個功能為“addJavascriptInterface()”，被設計為允許開發者通過有限范圍的JavaScript來訪問Java代 碼，但是由于存在Bug，只需創建一個運行代碼的WebView，就能夠訪問已經損壞的JavaScript功能。

簡單地說，便是通過這個漏洞獲得最高JavaScript權限。

谷歌方面也曾經承認Android 4.1中的這個漏洞，表示攻擊者能夠以意想不到的方式來操縱主機應用程序，隨意執行Java代碼。在開源安全漏洞檢測工具Metasploit最近的測試中，發現這個漏洞依然存在于最新的谷歌眼鏡XE12軟件版本中。

該漏洞對于谷歌眼鏡的影響還是非常大的，因為很多Android免費應用程序都要使用WebView來加載HTML內容（如開發者網站、說明及廣告），如果攻擊者可以通過惡意的JavaScript代碼來肆意修改HTML內容，將會對網站運營者及用戶造成重大損失。

顯然，這是谷歌眼鏡目前存在的一個安全隱患，但谷歌方面并未發表聲明，我們希望漏洞能夠盡快被修補。

來源：androidauthority

載自: 騰訊科技