随着 HTML5 标准的确定，HTML5 Web应用的数量将会迅速增加。由于Web应用的平台独立性，预计HTML5 将促进Web应用重新打包为手机恶意程序的这一趋势。

　　快速一览 HTML5 Android应用程序

　　根据我们的监测，2014年，将HTML5程序重新打包为Android程序的数量比2013年增加了200%，比2012的数量激增了600%。

（2012年至2014年HTML5-packaged程序在Android平台中所占比例）

　　我们同时注意到，HTML5打包的恶意软件或PUAs（潜在威胁软件）的数量也在增长，其中2014年近50%的HTML5恶意软件/PUAs伪装为游戏应用。

（2012年至2014年HTML5-packaged Android恶意软件比例）

　　一个名为小步枪（Tiny Rifles）的 APP 就是款典型的需要com.html5.game2包的 HTML5 游戏。运行它以后，浏览器除了会加载HTML5游戏的webview，还会通过代码注入恶意广告SDK。该款恶意应用目前已经在Google Play中下架，我们将它检测为潜在威胁软件（PUA）。

（假冒游戏Tiny Rifles）

　　HTML5 Android恶意软件的两种攻击方式

　　根据我们的分析，HTML5打包的恶意软件主要使用两种攻击方式：

　　方法一：初始化本地 webview

　　这是一种非常受黑客欢迎的攻击方式，使用它并不用改变HTML5应用的代码。黑客只需要初始化一个本地webview，加载本地或远程的HTML5/JavaScript/CSS代码即可。这样主程序仍能运行，而产生的却是新的安卓应用。

　　然而，大多数黑客并不会在这里止步，因为只把 Web 应用转为安卓应用是完全没有意义的。黑客在大多数时候会在发布应用之前将恶意代码注入其中。

（被注入的JAVA恶意代码）

　　这样打包应用的话，恶意代码和正常代码会在源代码里分离。黑客只需要关心注入的部分代码，而不用太在意HTML5的那部分，这样使得代码逻辑清晰简单。

　　方法二：把HTML5应用打包，通过中间件注入恶意JS代码

　　随着安卓越来越受大众的欢迎，许多中间件由此诞生，方便人们开发跨平台的应用。中间件是一种第三方软件/框架，在应用和操作系统之间作桥梁之用。对于 HTML5 与相关 web 应用，现今有几种开源框架支持跨平台开发，比如：Phonegap， Apache Cordova， Crosswalk，Cocoonjs等等，而且这些中间件通常都支持 HTML5，其中一个典型例子就是 Apache Cordova。

　　除了使用 webview 的 HTML5/JavaScript/CSS 代码外，适用于那些中间件的应用通常都基于那些框架核心库运行，就如那些定制的浏览器一样。由于那些中间件强大的 API 给开发者提供了许多便捷，他们只需要使用 JS 代码就能与安卓进行交互。换句话说，如果 HTML5 应用利用了中间件的特性，可以轻松进行恶意代码注入和执行。

（用Cordova发送短信的JavaScript 恶意代码）

　　结论

　　HTML5使得开发更强大的web应用变得更加简单，因其开发的 web应用的平台低依赖性，安卓平台因此有较大优势。对于开发者来说，跨平台开发的难度降低，可以说是一次开发多方通用（WORA，write once, run anywhere），并不会在跨平台上耗费精力。对于用户来说，他们可以在不同的移动平台分享喜爱的应用。这些意味着使用 HTML5 进行 web应用开发，对于诸方都是有利的。

　　当然，跨平台也会带来隐患比如跨平台注入，JS代码保护的机制太少，导致web应用可以被轻松复制和重新打包。理论上来讲，通过代码注入和重新打包，黑客可以剽窃任何他们想要的 HTML5的跨平台 web应用。

　　在未来，我们可以预见到这种由 HTML5开发的恶意软件可以通杀不同的移动平台（比如iOS，Android，WinPhone）。为了避免这种情况，开发者应多花点精力在代码混淆和使用其他编码技巧上，这样可以在一定程度上保护他们的应用程序。家庭用户需要使用新的应用程序时，好去官方应用商店下载。

天津乐之网络可提供微信营销|天津微信营销|微营销|微信开发|微信平台建设|微网站制作|微网站|微官网|微上墙|微现场|微活动|微游戏|微会员卡|微团购|微订单|微点菜|外卖叫餐|微商城|积分商城|微酒店|微喜帖|电子喜帖|邀请函|商务邀请函|百岁邀请函|微房产|房产经纪人|微汽车|微旅游的服务