事件背景：9月5日，360和周鸿祎通过微博和微信大肆宣扬一个手机安全漏洞的“惊天发现”：“国内惊现首个手机挂马高危漏洞”，并宣称“可被大规模利用”，并曝出腾讯、百度、金山的多款安卓应用具有严重的手机挂马漏洞，一时间人心惶惶。然而第二天360手机浏览器和手机卫士也被权威机构曝出存在同样的漏洞，等于自己打了自己一个耳光。

这究竟是怎么一回事呢？经笔者这些天的研究，已基本弄明白了事情的原委。这个漏洞源于安卓。

第一、这是安卓的漏洞，所以基于安卓系统的APP都受到影响，因为需要点击链接打开挂马网站才能中招，因此手机浏览器首当其冲，UC、QQ、360、猎豹等浏览器都不能幸免。

第二、这个安卓的漏洞其实2年前就有了，而不是今天才“惊现”的。

专家是这么说的：“这个问题最早是可以追溯到2011年的一篇论文《Attacks on WebView in the Android System》http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf 这篇文章指出了addJavascriptInterface的方式在功能上带来的一些风险，比如你的app里实现了一个读写文件的类，然后使用addJavascriptInterface接口允许js调用，那么就可能导致攻击者直接调用这个class（类）实现读写文件的操作。这种方式是最原始的风险，并没有直接指出getClass()方法的利用。”

第三、这个漏洞其实很难利用，危害程度并没有360说得那样惊悚。

专家说“这个漏洞要实现完美的利用，还需要一些其他东西配合”。

第四、这个漏洞很多厂商已逐步修复，对用户并未产生多少影响。

作者微信公众号：杂侃科技