創(chuàng)新工場旗下的上網(wǎng)快鳥透露，近期國內爆出的Android WebView安全漏洞會導致大量應用成為黑客管道。漏洞危及超過90%的安卓手機，當用戶通過存在漏洞的APP打開掛馬網(wǎng)頁后，可被大規(guī)模利用，包括遠程操控手機竊取隱私、扣費等。

根據(jù)上網(wǎng)快鳥聯(lián)合創(chuàng)始人姜向前的介紹，該漏洞的原理是在Android的SDK中封裝了WebView控件，該控件可以和使用它的應用程序結合的更加緊密，在頁面內允許JavaScript調用Java代碼。

這個特性帶來便捷的同時也具有很大的潛在風險。

因為Java代碼本身可以調用系統(tǒng)本身的很多功能，例如讀寫文件，撥打電話、發(fā)短信扣費等，經(jīng)過精心構造，甚至可以root手機、安裝惡意程序。系統(tǒng)在設計時，對可以調用的Java代碼做了一定的限制，但是這個限制在4.2之前的系統(tǒng)上不嚴密，會導致限制可以被繞過，形同虛設。

出于安全考慮，為了防止Java層的函數(shù)被隨便調用，Google在Android 4.2版本之后，規(guī)定允許被調用的函數(shù)必須以JavascriptInterface進行注解，所以如果某應用依賴的API Level為17或者以上，就不會受該問題的影響（注：Android 4.2 中API Level小于17的應用也會受影響）。

國內大量的移動開發(fā)者都錯誤的調用了WebView控件接口，導致漏洞攻擊大規(guī)模爆發(fā)。

在各App開發(fā)者還沒有升級自己的App之前，建議大家使用系統(tǒng)自帶的瀏覽器訪問網(wǎng)頁，并且慎重訪問社交應用中陌生人發(fā)來的鏈接。