国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

虛假來電:HTML5 振動 API 的惡意使用

roland_reed / 3382人閱讀

摘要:到目前為止,以及其他瀏覽器要使用位置信息攝像頭地址簿等資源必須申請權限。目前振動的強度還不能控制,只能控制持續時間。提示是平臺上唯一支持振動的。當頁面使用振動的時候,目前并不會申請權限。

一個新的API出來了。HTML5 (很快)將支持用戶設備振動。這明顯是很有趣的事情,比如它可以用戶觸發提醒,提升游戲體驗,以及其他各種好玩的事情,例如通過振動發送摩斯代碼。

到目前為止,Chrome(以及其他Android瀏覽器)要使用位置信息、攝像頭、地址簿等資源必須申請權限。這是一種安全措施防止你的個人信息在未授權的情況下泄露。

而現在使用HTML5振動API并不會在屏幕上觸發警告。因為一般認為用這個功能幾乎沒有危害,畢竟在現實中它能干的壞事無非是持續消耗電量。事實就是這樣簡單嗎?我不敢肯定。

邪念

我們都看過那種無恥的廣告做得跟Windows彈出窗一模一樣,它們通常發出一個正當的系統請求:更新Java或類似的。

假如一個惡意網頁彈出一個虛假的系統提示并同時振動,你有多大的信心能區分一個合法的彈出框和一個png圖片?畢竟手機振動了,你就會認為它是真實的系統提示。

(圖1)

這時候你是收到了一個“空投”炸彈,還是說網頁在跟你開個小玩笑?

頁面廣告自動播放聲音本來就很煩人了。自動振動跟它比起來毫不遜色。回想一下你在滿屏幕搜索那個推銷保險的廣告。

目前振動的強度還不能控制,只能控制持續時間。當然通過構造惡意代碼去突破沒打補丁的瀏覽器也不是不可能的,甚至可以讓電機持續高負荷運轉直到損壞。

虛假來電

如果與HTML5 Audio一起使用,完全可以創建一個很真實的虛假”來電“,既有振動也有鈴聲。一旦”接聽“,頁面就可以播放一段音頻:”喂,盡快回打給我,我的號碼是“一個吸費號碼”。接下來還可以使用URI自動打開撥號界面。

(圖2)

你能告訴我上面說的是真實的來電嗎?如果你夠仔細或許會發現。但如果頁面正在播放你的默認鈴聲,然后設備還在振動,這時你就很可能迷糊。如果和WebRTC呼叫綁定,那實際上你看到的就是一個精心構造的騙局。

視頻演示

本文作者還錄了一段視頻,放在Youtube上了。http://www.youtube.com/watch?v=VqsRya3ZNoE

源代碼

下面是一個很基本的例子,你可以在手機上試驗一下。(或點擊這里看示例)


 
 
 

目前只有Android平臺的Firefox支持,但毫無疑問其他瀏覽器將會跟進。

提示

Firefox是Andriod平臺上唯一支持振動的。其他的比如三星瀏覽器,Chrome或者Opera都不支持。Iphone也不支持。Windows Phone或黑莓根本沒人在乎的,所以我就不測試了。

當頁面使用振動API的時候,Firefox目前并不會申請權限。

你認為瀏覽器在振動前是否應該有警告?還是說這種風險太低?我想這要看那些騙子公司是否會利用這一點了,或者要看用戶是否反對了。

更新: 感謝Reddit和HackerNews上面的評論,BB10似乎也支持振動API,Windows Phone不支持。


原文:Malicious Use of the HTML5 Vibrate API
轉自:伯樂在線 - 梧桐

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11093.html

相關文章

  • JS手機振動API vibrate

    摘要:判斷兼容瀏覽器對振動的支持情況,一個好的習慣就是在使用之前要檢查一下當前你的應用環境瀏覽器是否支持振動。下面就是檢測的方法在對象里就只有一個關于振動的。 判斷兼容 瀏覽器對振動API的支持情況,一個好的習慣就是在使用之前要檢查一下當前你的應用環境、瀏覽器是否支持振動API。下面就是檢測的方法: var supportsVibrate = vibrate in navigator; 在w...

    Eidesen 評論0 收藏0
  • web 應用常見安全漏洞一覽

    摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...

    darkerXi 評論0 收藏0
  • web 應用常見安全漏洞一覽

    摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...

    Panda 評論0 收藏0

發表評論

0條評論

roland_reed

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<