安全研究人员称,旧版本 Android 系统发现的一个漏洞,可以让攻击者在终端用户智能手机上执行恶意代码。漏洞存在于一个广泛使用的应用程序接口 WebView 上, 开发者可以利用该接口在应用中嵌入 Web 内容。研究人员发现,大多数使用该接口的程序没有正确使用安全链接下载 Web 内容。
因此,攻击者能够利用开放 WiFi 网站,劫持连接,向 Android 应用注入恶意 JavaScript 代码。该漏洞主要影响 Android 4.2 之前的系统,Android 4.2 加入了新的安全功能,限制了调用脚本对象的方法。