Android常见安全风险点之webview使用三方插件风险

当系统辅助功能中的任意一项服务被开启后,所有由系统提供的WebView都会被加入两个JS objects,分别为是”accessibility” 和 “accessibilityTraversal”,如果应用使用了系统的WebView,并且设置了setJavaScriptEnabled(true),那么恶意攻击者就可以使用”accessibility” 和 “accessibilityTraversal” 这两个Java Bridge来执行远程攻击代码。

只要在onPageStarted()方法中调用WebView.removeJavascriptInterface(“accessibility”);WebView.removeJavascriptInterface(“accessibilityTraversal”)方法显示的移除accessibility、accessibilityTraversal。

相关推荐:
检查行所绑定的行布局文件中是否使用了EditText,如果有的话将EditText的focusable 属性设为false。
原因在于导出activity,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意调用,应用会产生拒绝服务等问题。 遇到这样的问题,如果它们只被同一个软件中的代码调用,将activity属性改为android:ex …
Swap分区,即交换区,Swap空间的作用可简单描述为:当系统的物理内存不够用的时候,就需要将物理内存中的一部分空间释放出来,以供当前运行的程序使用。那些被释放的空间可能来自一些很长时间没有什么操作 …
所谓的粘性广播就是指发出的广播内容会一直在系统滞留,如果有敏感信息,会被其他恶意应用获取。 开发中尽量不要使用sendStickyBroadcast方法,或者使用后调用removeStickyBroadcast()删除。
GPhone的模拟器有个特有的号码:15555218135,这个就类似我们实体手机的SIM卡号码啦。 要实现拨号,用手机?当然不行! 更简单,三步: 1.打开终端 2.连接: telnet localhost 5554(5554是你打开模拟器后上 …
拿起手机扫一扫即可带走我!