研究者發(fā)現(xiàn)HTML5開發(fā)者的錯誤會產(chǎn)生代碼注入漏洞，并導(dǎo)致用戶數(shù)據(jù)泄漏。

近日在加州舉行的移動安全技術(shù)大會上，Syracuse大學(xué)的研究者的研究報告顯示HTML5移動應(yīng)用可能會給企業(yè)帶來新的安全風(fēng)險。開發(fā)者的錯誤可能導(dǎo)致HTML5應(yīng)用自動執(zhí)行攻擊者通過Wifi藍牙或短信發(fā)送的惡意代碼。

ICSA實驗室的移動安全專家Jack Walsh指出，惡意代碼可以偷偷竊取受害者的敏感信息并發(fā)送給攻擊者，這針對HTML5的惡意代碼還能偶像蠕蟲一樣傳播，自動向受害者的聯(lián)系人發(fā)送包含惡意代碼的短信。

HTML5移動應(yīng)用的安全缺陷危害很大，根據(jù)Gartner的報告，由于跨平臺的特性，HTML5應(yīng)用的普及很快，2016年超過半數(shù)的移動應(yīng)用都將基于HTML5.

對于開發(fā)者來說，選擇正確的API非常重要，因為最新的HTML5標準、樣式表CSS和JavaScript能夠?qū)��?shù)據(jù)和代碼混合執(zhí)行。

如果開發(fā)者只想處理數(shù)據(jù)，但使用了錯誤的API，代碼也會被自動執(zhí)行，這就留下了巨大的安全隱患。如果混合代碼的數(shù)據(jù)來自非受信方，HTML5移動應(yīng)用就有可能被注入惡意代碼并執(zhí)行。

其實開發(fā)者錯誤導(dǎo)致的安全風(fēng)險不僅僅限于HTML5應(yīng)用， 事實上HTML5應(yīng)用與web應(yīng)用的安全機制并無本質(zhì)區(qū)別。

攻擊者向HTML5應(yīng)用注入惡意代碼的方法有很多，包括通過WiFi熱點發(fā)送SSID，通過藍牙數(shù)據(jù)交換、通過QR二維碼，JPEG圖片或者MP3音樂文檔的元數(shù)據(jù)等。

為了實現(xiàn)跨平臺，HTML5需要通過中間件框架來連接底層系統(tǒng)資源，例如文件系統(tǒng)、設(shè)備傳感器和攝像頭等。Android、iOS和Windows Phone有不同的容器用于訪問服務(wù)，因此開發(fā)者通常將底層工作交給框架開發(fā)者來處理。

常見的框架包括PhoneGap、RhoMobile和Appcelerator等，不過移動開發(fā)框架本身的安全性并不容樂觀，研究者在調(diào)查了186個PhoneGap的插件后，發(fā)現(xiàn)11個都存在代碼注入漏洞。