创新工场旗下的上网快鸟向36氪透露，近期国内爆出的 Android WebView 安全漏洞会导致大量应用成为黑客管道。漏洞危及超过 90% 的安卓手机，当用户通过存在漏洞的 APP 打开挂马网页后，可被大规模利用，包括远程操控手机窃取隐私、扣费等。

根据上网快鸟联合创始人姜向前的介绍，该漏洞的原理是在 Android 的 SDK 中封装了 WebView 控件，该控件可以和使用它的应用程序结合的更加紧密，在页面内允许 JavaScript 调用 Java 代码。

这个特性带来便捷的同时也具有很大的潜在风险。

因为 Java 代码本身可以调用系统本身的很多功能，例如读写文件，拨打电话、发短信扣费等，经过精心构造，甚至可以 root 手机、安装恶意程序。系统在设计时，对可以调用的 Java 代码做了一定的限制，但是这个限制在 4.2 之前的系统上不严密，会导致限制可以被绕过，形同虚设。

出于安全考虑，为了防止 Java 层的函数被随便调用，Google 在 Android 4.2 版本之后，规定允许被调用的函数必须以 JavascriptInterface 进行注解，所以如果某应用依赖的 API Level 为 17 或者以上，就不会受该问题的影响（注：Android 4.2 中 API Level 小于 17 的应用也会受影响）。

国内大量的移动开发者都错误的调用了 WebView 控件接口，导致漏洞攻击大规模爆发。

在各 App 开发者还没有升级自己的 App 之前，建议大家使用系统自带的浏览器访问网页，并且慎重访问社交应用中陌生人发来的链接。

关于上网快鸟：

提供手机上网节省流量、云端实时拦截漏洞攻击等服务。

相关参考链接：

1. http://drops.wooyun.org/papers/548
2. http://blog.csdn.net/androidsecurity/article/details/11131891