成人无码视频,亚洲精品久久久久av无码,午夜精品久久久久久毛片,亚洲 中文字幕 日韩 无码

資訊專欄INFORMATION COLUMN

虛假來(lái)電:HTML5 振動(dòng) API 的惡意使用

roland_reed / 3446人閱讀

摘要:到目前為止,以及其他瀏覽器要使用位置信息攝像頭地址簿等資源必須申請(qǐng)權(quán)限。目前振動(dòng)的強(qiáng)度還不能控制,只能控制持續(xù)時(shí)間。提示是平臺(tái)上唯一支持振動(dòng)的。當(dāng)頁(yè)面使用振動(dòng)的時(shí)候,目前并不會(huì)申請(qǐng)權(quán)限。

一個(gè)新的API出來(lái)了。HTML5 (很快)將支持用戶設(shè)備振動(dòng)。這明顯是很有趣的事情,比如它可以用戶觸發(fā)提醒,提升游戲體驗(yàn),以及其他各種好玩的事情,例如通過(guò)振動(dòng)發(fā)送摩斯代碼。

到目前為止,Chrome(以及其他Android瀏覽器)要使用位置信息、攝像頭、地址簿等資源必須申請(qǐng)權(quán)限。這是一種安全措施防止你的個(gè)人信息在未授權(quán)的情況下泄露。

而現(xiàn)在使用HTML5振動(dòng)API并不會(huì)在屏幕上觸發(fā)警告。因?yàn)橐话阏J(rèn)為用這個(gè)功能幾乎沒有危害,畢竟在現(xiàn)實(shí)中它能干的壞事無(wú)非是持續(xù)消耗電量。事實(shí)就是這樣簡(jiǎn)單嗎?我不敢肯定。

邪念

我們都看過(guò)那種無(wú)恥的廣告做得跟Windows彈出窗一模一樣,它們通常發(fā)出一個(gè)正當(dāng)?shù)南到y(tǒng)請(qǐng)求:更新Java或類似的。

假如一個(gè)惡意網(wǎng)頁(yè)彈出一個(gè)虛假的系統(tǒng)提示并同時(shí)振動(dòng),你有多大的信心能區(qū)分一個(gè)合法的彈出框和一個(gè)png圖片?畢竟手機(jī)振動(dòng)了,你就會(huì)認(rèn)為它是真實(shí)的系統(tǒng)提示。

(圖1)

這時(shí)候你是收到了一個(gè)“空投”炸彈,還是說(shuō)網(wǎng)頁(yè)在跟你開個(gè)小玩笑?

頁(yè)面廣告自動(dòng)播放聲音本來(lái)就很煩人了。自動(dòng)振動(dòng)跟它比起來(lái)毫不遜色?;叵胍幌履阍跐M屏幕搜索那個(gè)推銷保險(xiǎn)的廣告。

目前振動(dòng)的強(qiáng)度還不能控制,只能控制持續(xù)時(shí)間。當(dāng)然通過(guò)構(gòu)造惡意代碼去突破沒打補(bǔ)丁的瀏覽器也不是不可能的,甚至可以讓電機(jī)持續(xù)高負(fù)荷運(yùn)轉(zhuǎn)直到損壞。

虛假來(lái)電

如果與HTML5 Audio一起使用,完全可以創(chuàng)建一個(gè)很真實(shí)的虛假”來(lái)電“,既有振動(dòng)也有鈴聲。一旦”接聽“,頁(yè)面就可以播放一段音頻:”喂,盡快回打給我,我的號(hào)碼是“一個(gè)吸費(fèi)號(hào)碼”。接下來(lái)還可以使用URI自動(dòng)打開撥號(hào)界面。

(圖2)

你能告訴我上面說(shuō)的是真實(shí)的來(lái)電嗎?如果你夠仔細(xì)或許會(huì)發(fā)現(xiàn)。但如果頁(yè)面正在播放你的默認(rèn)鈴聲,然后設(shè)備還在振動(dòng),這時(shí)你就很可能迷糊。如果和WebRTC呼叫綁定,那實(shí)際上你看到的就是一個(gè)精心構(gòu)造的騙局。

視頻演示

本文作者還錄了一段視頻,放在Youtube上了。http://www.youtube.com/watch?v=VqsRya3ZNoE

源代碼

下面是一個(gè)很基本的例子,你可以在手機(jī)上試驗(yàn)一下。(或點(diǎn)擊這里看示例)

目前只有Android平臺(tái)的Firefox支持,但毫無(wú)疑問其他瀏覽器將會(huì)跟進(jìn)。

提示

Firefox是Andriod平臺(tái)上唯一支持振動(dòng)的。其他的比如三星瀏覽器,Chrome或者Opera都不支持。Iphone也不支持。Windows Phone或黑莓根本沒人在乎的,所以我就不測(cè)試了。

當(dāng)頁(yè)面使用振動(dòng)API的時(shí)候,F(xiàn)irefox目前并不會(huì)申請(qǐng)權(quán)限。

你認(rèn)為瀏覽器在振動(dòng)前是否應(yīng)該有警告?還是說(shuō)這種風(fēng)險(xiǎn)太低?我想這要看那些騙子公司是否會(huì)利用這一點(diǎn)了,或者要看用戶是否反對(duì)了。

更新: 感謝Reddit和HackerNews上面的評(píng)論,BB10似乎也支持振動(dòng)API,Windows Phone不支持。

原文:Malicious Use of the HTML5 Vibrate API
轉(zhuǎn)自:伯樂在線 - 梧桐

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/11093.html

相關(guān)文章

  • JS手機(jī)振動(dòng)API vibrate

    摘要:判斷兼容瀏覽器對(duì)振動(dòng)的支持情況,一個(gè)好的習(xí)慣就是在使用之前要檢查一下當(dāng)前你的應(yīng)用環(huán)境瀏覽器是否支持振動(dòng)。下面就是檢測(cè)的方法在對(duì)象里就只有一個(gè)關(guān)于振動(dòng)的。 判斷兼容 瀏覽器對(duì)振動(dòng)API的支持情況,一個(gè)好的習(xí)慣就是在使用之前要檢查一下當(dāng)前你的應(yīng)用環(huán)境、瀏覽器是否支持振動(dòng)API。下面就是檢測(cè)的方法: var supportsVibrate = vibrate in navigator; 在w...

    Eidesen 評(píng)論0 收藏0

  • web 應(yīng)用常見安全漏洞一覽

    摘要:應(yīng)用常見安全漏洞一覽注入注入就是通過(guò)給應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的命令。此外,適當(dāng)?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預(yù)防注入漏洞。 web 應(yīng)用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過(guò)給 web 應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗(yàn)上的優(yōu)化。 原因 當(dāng)使用外...

    darkerXi 評(píng)論0 收藏0

  • web 應(yīng)用常見安全漏洞一覽

    摘要:應(yīng)用常見安全漏洞一覽注入注入就是通過(guò)給應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的命令。此外,適當(dāng)?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預(yù)防注入漏洞。 web 應(yīng)用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過(guò)給 web 應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗(yàn)上的優(yōu)化。 原因 當(dāng)使用外...

    Panda 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<