警惕HTML5移动应用代码注入风险

研究者发现HTML5开发者的错误会产生代码注入漏洞，并导致用户数据泄漏。

近日在加州举行的移动安全技术大会上，Syracuse大学的研究者的研究报告显示HTML5移动应用可能会给企业带来新的安全风险。开发者的错误可能导致HTML5应用自动执行攻击者通过Wifi蓝牙或短信发送的恶意代码。

ICSA实验室的移动安全专家Jack Walsh指出，恶意代码可以偷偷窃取受害者的敏感信息并发送给攻击者，这针对HTML5的恶意代码还能偶像蠕虫一样传播，自动向受害者的联系人发送包含恶意代码的短信。

HTML5移动应用的安全缺陷危害很大，根据Gartner的报告，由于跨平台的特性，HTML5应用的普及很快，2016年超过半数的移动应用都将基于HTML5.

对于开发者来说，选择正确的API非常重要，因为最新的HTML5标准、样式表CSS和JavaScript能够将数据和代码混合执行。

如果开发者只想处理数据，但使用了错误的API，代码也会被自动执行，这就留下了巨大的安全隐患。如果混合代码的数据来自非受信方，HTML5移动应用就有可能被注入恶意代码并执行。

其实开发者错误导致的安全风险不仅仅限于HTML5应用， 事实上HTML5应用与web应用的安全机制并无本质区别。

攻击者向HTML5应用注入恶意代码的方法有很多，包括通过WiFi热点发送SSID，通过蓝牙数据交换、通过QR二维码，JPEG图片或者MP3音乐文档的元数据等。

为了实现跨平台，HTML5需要通过中间件框架来连接底层系统资源，例如文件系统、设备传感器和摄像头等。Android、iOS和Windows Phone有不同的容器用于访问服务，因此开发者通常将底层工作交给框架开发者来处理。

常见的框架包括PhoneGap、RhoMobile和Appcelerator等，不过移动开发框架本身的安全性并不容乐观，研究者在调查了186个PhoneGap的插件后，发现11个都存在代码注入漏洞。