收藏本页 | 设为主页 | 随便看看 | 手机版
普通会员

郑州市北斗化工有限公司

化学试剂、化工产品、医药原料、医药中间体、麻黄素、盐酸羟亚胺、甲卡西酮、甲卡...

新闻中心
  • 暂无新闻
产品分类
  • 暂无分类
站内搜索
 
荣誉资质
  • 暂未上传
友情链接
  • 暂无链接
荣誉资质
360手机安全中心:小米手机存在远程代码执行漏洞
发布时间:2019-05-19        浏览次数:        

  而别的一个缺欠存正在体例中的幼米店肆APP,该APP的一个导出组件干系的com.xiaomi.shop.ui类初始化了一个WE的addJavascriptInterface缺欠接口,而且没有做任何和平处罚。

  宋申雷指出,Intent.parseUri解析URL时十足能够自界说EXTRA DATA和DATA以及acion等,通过符及形式的赞同所在向当地放肆APP发送放肆贪图,以是即使当地某个APP的导出组件存正在缺欠,从这个入口,黑客能够实行长途攻击。

  中新网8月26日电 8月25日,360本事博客曝出幼米所利用的MIUI体例存正在异常明明的和平缺欠,通过该缺欠能够长途获取手机APP的权限。360资深和平专家宋申雷(茄子)败露,正在7月份挖掘该缺欠后,已第偶尔间报告幼米和平呼应中央,目前,该缺欠已正在最新版MIUI中取得修复。

  宋申雷创议安卓开辟者正在注视用户体验的开辟同时也应当闭心和平,由于某个APP的易用效用而导致整体体例的和平性大打扣头将得不偿失。目前,幼米官方一经修复幼米店肆APP存正在的缺欠,宋申雷创议幼米手机和MIUI的用户尽速升级。

  “按照我以往的体会,APP要正在静态网页中实行经过间通讯主流的步骤有两种,一种是通过addJavascriptInterface给webview到场一个javascript桥接接口,通过挪用这个接口能够直接操作当地的JAVA接口。别的一种步骤是利用Intent.parseUri解析URL,让webview直接维持intent scheme URLs(贪图赞同URL),通过解析特定形式的URL直接思体例发送贪图。”宋申雷正在测试中挖掘,幼米原生浏览器十足维持贪图赞同URL。

  研商挖掘,幼米MIUI原生浏览器存正在贪图赞同(贪图即Intent,是一种运转时绑定机造,它能正在标准运转经过中相连两个区另表组件)上的和平题目。宋申雷先容,幼米原生浏览器定造了404页面, 如现在URL不行拜访会跳转到幼米浏览器定造的404页面,通过点击网页中的链接能够直接进入的Wi-Fi成立页面。