成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

虛假來電:HTML5 振動 API 的惡意使用

roland_reed / 3390人閱讀

摘要:到目前為止,以及其他瀏覽器要使用位置信息攝像頭地址簿等資源必須申請權(quán)限。目前振動的強(qiáng)度還不能控制,只能控制持續(xù)時間。提示是平臺上唯一支持振動的。當(dāng)頁面使用振動的時候,目前并不會申請權(quán)限。

一個新的API出來了。HTML5 (很快)將支持用戶設(shè)備振動。這明顯是很有趣的事情,比如它可以用戶觸發(fā)提醒,提升游戲體驗(yàn),以及其他各種好玩的事情,例如通過振動發(fā)送摩斯代碼。

到目前為止,Chrome(以及其他Android瀏覽器)要使用位置信息、攝像頭、地址簿等資源必須申請權(quán)限。這是一種安全措施防止你的個人信息在未授權(quán)的情況下泄露。

而現(xiàn)在使用HTML5振動API并不會在屏幕上觸發(fā)警告。因?yàn)橐话阏J(rèn)為用這個功能幾乎沒有危害,畢竟在現(xiàn)實(shí)中它能干的壞事無非是持續(xù)消耗電量。事實(shí)就是這樣簡單嗎?我不敢肯定。

邪念

我們都看過那種無恥的廣告做得跟Windows彈出窗一模一樣,它們通常發(fā)出一個正當(dāng)?shù)南到y(tǒng)請求:更新Java或類似的。

假如一個惡意網(wǎng)頁彈出一個虛假的系統(tǒng)提示并同時振動,你有多大的信心能區(qū)分一個合法的彈出框和一個png圖片?畢竟手機(jī)振動了,你就會認(rèn)為它是真實(shí)的系統(tǒng)提示。

(圖1)

這時候你是收到了一個“空投”炸彈,還是說網(wǎng)頁在跟你開個小玩笑?

頁面廣告自動播放聲音本來就很煩人了。自動振動跟它比起來毫不遜色?;叵胍幌履阍跐M屏幕搜索那個推銷保險的廣告。

目前振動的強(qiáng)度還不能控制,只能控制持續(xù)時間。當(dāng)然通過構(gòu)造惡意代碼去突破沒打補(bǔ)丁的瀏覽器也不是不可能的,甚至可以讓電機(jī)持續(xù)高負(fù)荷運(yùn)轉(zhuǎn)直到損壞。

虛假來電

如果與HTML5 Audio一起使用,完全可以創(chuàng)建一個很真實(shí)的虛假”來電“,既有振動也有鈴聲。一旦”接聽“,頁面就可以播放一段音頻:”喂,盡快回打給我,我的號碼是“一個吸費(fèi)號碼”。接下來還可以使用URI自動打開撥號界面。

(圖2)

你能告訴我上面說的是真實(shí)的來電嗎?如果你夠仔細(xì)或許會發(fā)現(xiàn)。但如果頁面正在播放你的默認(rèn)鈴聲,然后設(shè)備還在振動,這時你就很可能迷糊。如果和WebRTC呼叫綁定,那實(shí)際上你看到的就是一個精心構(gòu)造的騙局。

視頻演示

本文作者還錄了一段視頻,放在Youtube上了。http://www.youtube.com/watch?v=VqsRya3ZNoE

源代碼

下面是一個很基本的例子,你可以在手機(jī)上試驗(yàn)一下。(或點(diǎn)擊這里看示例)

目前只有Android平臺的Firefox支持,但毫無疑問其他瀏覽器將會跟進(jìn)。

提示

Firefox是Andriod平臺上唯一支持振動的。其他的比如三星瀏覽器,Chrome或者Opera都不支持。Iphone也不支持。Windows Phone或黑莓根本沒人在乎的,所以我就不測試了。

當(dāng)頁面使用振動API的時候,F(xiàn)irefox目前并不會申請權(quán)限。

你認(rèn)為瀏覽器在振動前是否應(yīng)該有警告?還是說這種風(fēng)險太低?我想這要看那些騙子公司是否會利用這一點(diǎn)了,或者要看用戶是否反對了。

更新: 感謝Reddit和HackerNews上面的評論,BB10似乎也支持振動API,Windows Phone不支持。

原文:Malicious Use of the HTML5 Vibrate API
轉(zhuǎn)自:伯樂在線 - 梧桐

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11093.html

相關(guān)文章

  • JS手機(jī)振動API vibrate

    摘要:判斷兼容瀏覽器對振動的支持情況,一個好的習(xí)慣就是在使用之前要檢查一下當(dāng)前你的應(yīng)用環(huán)境瀏覽器是否支持振動。下面就是檢測的方法在對象里就只有一個關(guān)于振動的。 判斷兼容 瀏覽器對振動API的支持情況,一個好的習(xí)慣就是在使用之前要檢查一下當(dāng)前你的應(yīng)用環(huán)境、瀏覽器是否支持振動API。下面就是檢測的方法: var supportsVibrate = vibrate in navigator; 在w...

    Eidesen 評論0 收藏0

  • web 應(yīng)用常見安全漏洞一覽

    摘要:應(yīng)用常見安全漏洞一覽注入注入就是通過給應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的命令。此外,適當(dāng)?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預(yù)防注入漏洞。 web 應(yīng)用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗(yàn)上的優(yōu)化。 原因 當(dāng)使用外...

    darkerXi 評論0 收藏0

  • web 應(yīng)用常見安全漏洞一覽

    摘要:應(yīng)用常見安全漏洞一覽注入注入就是通過給應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的命令。此外,適當(dāng)?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預(yù)防注入漏洞。 web 應(yīng)用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗(yàn)上的優(yōu)化。 原因 當(dāng)使用外...

    Panda 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<