HTML5移动应用——当心代码注入风险

　　近日在加州举行的移动安全技术大会上，Syracuse大学的研究者的研究报告显示HTML5移动应用可能会给企业带来新的安全风险。开发者的错误可能致使HTML5应用自动执行攻击者经过Wifi蓝牙或短信发送的恶意代码。

　　ICSA实验室的移动安全专家Jack Walsh指出，恶意代码能够偷偷窃取受害者的敏感信息并发送给攻击者，这针对HTML5的恶意代码还能偶像蠕虫同样传播，自动向受害者的联系人发送包含恶意代码的短信。

　　HTML5移动应用的安全缺陷危害很大，根据Gartner的报告，因为跨平台的特性，HTML5应用的普及很快，2016年超过半数的移动应用都将基于HTML5.

　　对于开发者来讲，选择正确的API很是重要，由于最新的HTML5标准、样式表CSS和JavaScript可以将数据和代码混合执行。

　　若是开发者只想处理数据，但使用了错误的API，代码也会被自动执行，这就留下了巨大的安全隐患。若是混合代码的数据来自非受信方，HTML5移动应用就有可能被注入恶意代码并执行。

　　其实开发者错误致使的安全风险不单单限于HTML5应用， 事实上HTML5应用与web应用的安全机制并没有本质区别。

　　攻击者向HTML5应用注入恶意代码的方法有不少，包括经过WiFi热点发送SSID，经过蓝牙数据交换、经过QR二维码，JPEG图片或者MP3音乐文档的元数据等。

　　为了实现跨平台，HTML5须要经过中间件框架来链接底层系统资源，例如文件系统、设备传感器和摄像头等。Android、iOS和Windows Phone有不一样的容器用于访问服务，所以开发者一般将底层工做交给框架开发者来处理。

　　常见的框架包括PhoneGap、RhoMobile和Appcelerator等，不过移动开发框架自己的安全性并不容乐观，研究者在调查了186个PhoneGap的插件后，发现11个都存在代码注入漏洞。