360預(yù)警：Webview通用漏洞讓手機(jī)郵件成釣魚幫兇

1月9日，360互聯(lián)網(wǎng)安全中心首家發(fā)出安卓客戶端通用釣魚預(yù)警。所有使用Webview組件的移動(dòng)應(yīng)用都會(huì)受到影響。從目前得到的技術(shù)分析來看，“受災(zāi)”最嚴(yán)重的是21CN、139及QQ等手機(jī)郵件客戶端。網(wǎng)友在使用存在漏洞的客戶端時(shí)，在打開郵件和附件的時(shí)候會(huì)被無提示重新定向至釣魚網(wǎng)址。360手機(jī)安全專家表示，在漏洞修復(fù)前打開郵箱要謹(jǐn)慎，同時(shí)可使用360手機(jī)衛(wèi)士對(duì)可能出現(xiàn)的釣魚詐騙進(jìn)行攔截。

圖：點(diǎn)擊郵件附件后跳轉(zhuǎn)到任意網(wǎng)址

據(jù)了解，該漏洞最早由國外安全研究人員發(fā)現(xiàn)，名為cve-2014-4925漏洞，此后360手機(jī)安全專家經(jīng)過分析測(cè)試，發(fā)現(xiàn)該漏洞在不同場(chǎng)景下會(huì)演變成一個(gè)通用漏洞，影響所有使用Webview組件的移動(dòng)應(yīng)用，甚至可能影響到iOS客戶端。

令人擔(dān)憂的是，這個(gè)漏洞會(huì)影響到幾乎所有的安卓郵件客戶端。具體表現(xiàn)為，向指定用戶(或用戶組)發(fā)送一封郵件，只要用戶在存在漏洞的郵件客戶端打開郵件或附件，會(huì)被無提示重定向到惡意釣魚網(wǎng)站。

360手機(jī)安全專家經(jīng)過分析后發(fā)現(xiàn)，為了防止客戶端被XSS或釣魚欺騙攻擊，許多郵件客戶端在使用Webview組件解析郵件內(nèi)容時(shí)都禁止運(yùn)行Javascript腳本，包括Webview組件。但如果郵件內(nèi)容未經(jīng)過濾，郵件客戶端直接解析原始的HTML標(biāo)簽郵件內(nèi)容，就可以通過 標(biāo)簽可以實(shí)現(xiàn)釣魚攻擊。

現(xiàn)在移動(dòng)互聯(lián)網(wǎng)和智能機(jī)的發(fā)展非常迅速，對(duì)于商務(wù)人士來說，用手機(jī)收發(fā)郵件已經(jīng)變成工作的一部分。但如有別有用心的人通過此漏洞群發(fā)郵件，將鏈接定向到釣魚網(wǎng)址，套取受害者的個(gè)人隱私，如手機(jī)號(hào)碼、身份證、網(wǎng)銀、網(wǎng)絡(luò)支付的賬號(hào)密碼等。都會(huì)在造成連帶傷害。電信騷擾自不必說，網(wǎng)銀、支付信息的泄露更是直接威脅到財(cái)產(chǎn)安全。

雖然漏洞波及面甚廣,但360手機(jī)安全專家指出，開發(fā)者在使用webview組件開發(fā)需禁止腳本環(huán)境的高安全級(jí)別功能時(shí)，針對(duì)解析內(nèi)容的 標(biāo)簽進(jìn)行過濾，就可解決這一問題。但在漏洞修復(fù)前，經(jīng)常使用手機(jī)收發(fā)郵件的網(wǎng)民則需要提高警惕，在跳轉(zhuǎn)到陌生頁面時(shí)不要輸入任何隱私信息。為進(jìn)一步規(guī)避風(fēng)險(xiǎn)，也可使用360手機(jī)衛(wèi)士等安全軟件對(duì)釣魚網(wǎng)址進(jìn)行提示及攔截。