HTML5移動應用——當心代碼注入風險

　　近日在加州舉行的移動安全技術大會上，Syracuse大學的研究者的研究報告顯示HTML5移動應用可能會給企業帶來新的安全風險。開發者的錯誤可能致使HTML5應用自動執行攻擊者經過Wifi藍牙或短信發送的惡意代碼。

　　ICSA實驗室的移動安全專家Jack Walsh指出，惡意代碼能夠偷偷竊取受害者的敏感信息併發送給攻擊者，這針對HTML5的惡意代碼還能偶像蠕蟲同樣傳播，自動向受害者的聯繫人發送包含惡意代碼的短信。

　　HTML5移動應用的安全缺陷危害很大，根據Gartner的報告，因爲跨平臺的特性，HTML5應用的普及很快，2016年超過半數的移動應用都將基於HTML5.

　　對於開發者來講，選擇正確的API很是重要，由於最新的HTML5標準、樣式表CSS和JavaScript可以將數據和代碼混合執行。

　　若是開發者只想處理數據，但使用了錯誤的API，代碼也會被自動執行，這就留下了巨大的安全隱患。若是混合代碼的數據來自非受信方，HTML5移動應用就有可能被注入惡意代碼並執行。

　　其實開發者錯誤致使的安全風險不單單限於HTML5應用， 事實上HTML5應用與web應用的安全機制並沒有本質區別。

　　攻擊者向HTML5應用注入惡意代碼的方法有不少，包括經過WiFi熱點發送SSID，經過藍牙數據交換、經過QR二維碼，JPEG圖片或者MP3音樂文檔的元數據等。

　　爲了實現跨平臺，HTML5須要經過中間件框架來鏈接底層系統資源，例如文件系統、設備傳感器和攝像頭等。Android、iOS和Windows Phone有不一樣的容器用於訪問服務，所以開發者一般將底層工做交給框架開發者來處理。

　　常見的框架包括PhoneGap、RhoMobile和Appcelerator等，不過移動開發框架自己的安全性並不容樂觀，研究者在調查了186個PhoneGap的插件後，發現11個都存在代碼注入漏洞。