二维码有多方便,就有多危险。撰文/播音 克里斯托弗·因塔利亚塔(Christopher Intagliata),翻译 李轩。OpenSSL爆出了安全漏洞“Heartbleed”以后,你是否已经改换了所有的密码?千万别放松警惕,你的智能手机很可能还会遭受一种最常见的网络攻击,即“跨站脚本攻击”(cross-site scripting attack)。为什么会这样说?
我们打个比方:当你用手机扫描二维码时,很有可能会扫描到一串恶意的JAVA代码。如果你的二维码扫描软件是苹果或者安卓手机自带的,那么什么问题也没有;但是,如果你用的是一个HTML5跨平台软件,麻烦就大了——因为它会自动运行JAVA代码。研究人员分别在安卓市场与苹果App Store中发现了5款与3款有这一漏洞的手机软件。
今年5月,这一结果将发表在圣何塞的“手机安全科技研讨会”(Mobile Security Technologies workshop)上。预计到2016年,HTML5应用会占到市面上所有手机应用的50%之多。恶意代码可以隐藏在音乐、图片、文本甚至wi-fi热点的名称里。研究人员认为,现在是开发者提高警惕的时候了:一定要将这个漏洞扼杀在摇篮里。