近日在加州举行的移动安全技术大会上,Syracuse大学的研究者的研究报告显示HTML5移动应用可能会给企业带来新的安全风险。开发者的错误可能导致HTML5应用自动执行攻击者通过Wifi蓝牙或短信发送的恶意代码。
ICSA实验室的移动安全专家Jack Walsh指出,恶意代码可以偷偷窃取受害者的敏感信息并发送给攻击者,这针对HTML5的恶意代码还能偶像蠕虫一样传播,自动向受害者的联系人发送包含恶意代码的短信。
HTML5移动应用的安全缺陷危害很大,根据Gartner的报告,由于跨平台的特性,HTML5应用的普及很快,2016年超过半数的移动应用都将基于HTML5.
对于开发者来说,选择正确的API非常重要,因为最新的HTML5标准、样式表CSS和JavaScript能够将数据和代码混合执行。
如果开发者只想处理数据,但使用了错误的API,代码也会被自动执行,这就留下了巨大的安全隐患。如果混合代码的数据来自非受信方,HTML5移动应用就有可能被注入恶意代码并执行。
其实开发者错误导致的安全风险不仅仅限于HTML5应用, 事实上HTML5应用与web应用的安全机制并无本质区别。
攻击者向HTML5应用注入恶意代码的方法有很多,包括通过WiFi热点发送SSID,通过蓝牙数据交换、通过QR二维码,JPEG图片或者MP3音乐文档的元数据等。
为了实现跨平台,HTML5需要通过中间件框架来连接底层系统资源,例如文件系统、设备传感器和摄像头等。Android、iOS和Windows Phone有不同的容器用于访问服务,因此开发者通常将底层工作交给框架开发者来处理。
常见的框架包括PhoneGap、RhoMobile和Appcelerator等,不过移动开发框架本身的安全性并不容乐观,研究者在调查了186个PhoneGap的插件后,发现11个都存在代码注入漏洞。