弹出窗口用于显示警报。这是否意味着弹出功能引入了漏洞？那么按照这种推理，JavaScript 是所有问题的根源。有些人实际上认为 JS 是一种重要的攻击媒介，并通过 NoScript 等扩展程序在不受信任的网站上阻止它。

许多功能都可能被滥用，这取决于创建标准、浏览器甚至网站的人来判断什么是坏的，并更改标准或实施缓解措施。当然，这些人可能是错误的，并且某些功能可能会被意外地用于攻击用户。

一个很好的例子是浏览器的控制台，它经常被用来欺骗用户粘贴攻击用户的 JS 代码。这帮助 Facebook 蠕虫病毒传播取得了巨大成功。Facebook 注意到了这一点，并在控制台中引入了这条消息：

这种振动功能可能会诱使一些用户认为它实际上是显示警报的操作系统，但我认为最新的移动浏览器可以很好地向用户显示他仍在浏览器中。在这种情况下，来自浏览器的消息很清楚“andro-apps.com 上的页面说：”

如果这成为攻击的重要载体，我相信浏览器制造商会注意到这一点，并会做出改变以减少影响。

假设一个恶意网页弹出一个虚假的系统通知并同时振动。您有多大把握分辨出您正在查看的网页上的合法弹出窗口和 .png 文件之间的区别。

（来源）

就我个人而言，我没有听说过任何与 HTML5 Vibrate API 相关的漏洞利用，但它可以用于邪恶目标，如上面的链接所示。但更严重的是上面引用的文字提到的：您无法区分合法的弹出窗口和其他内容。这可能是一个弹出窗口，用于触发偷渡式下载攻击，通过利用您使用的浏览器（或其插件）的漏洞，在您的系统上安装恶意软件（通常是间谍软件或广告软件）。

但幸运的是，我能够充分平息我的神经，意识到这是通过广告服务器提供的恐吓软件，而杀毒软件可能是真正的病毒。

您的决定相当明智，因为它可能是路过式下载攻击。尝试在您的笔记本电脑上使用免费（但功能强大）的服务，例如停止恶意软件，以查看您浏览的网站是否被列入黑名单（如果该网站最近被入侵并且没有人报告，则通知可能是负面的）。

老实说，核心问题是手机的振动是否会给应用程序/网站带来比没有振动更大的权限。现在，显然我缺乏对这个特定问题的任何研究，但我们可以注意到应用程序不使用振动作为召集权威的方式。如果有的话，应用程序在打开时振动会感觉不对，并且是一个额外的指标，表明情况有些奇怪，因为振动往往仅在屏幕关闭时触发。

振动会给某些人带来紧迫感吗？当然，因此它可能会略微提高恐吓软件的效率，但即使是这种情况，它仍然不是安全漏洞，因为振动 API 不允许人们做任何不允许做的事情安全漏洞的必要特征。因此，总而言之，它绝对不是一个安全漏洞，将其锁定在权限对话框后面几乎没有意义。

它本身并不是一个漏洞，因为它不能用于直接利用该设备，但它肯定可以并且（如您的问题所示）已被用于社会工程攻击。

在您提到的情况下，它被用来制造紧迫感并诱使用户安装不需要的软件。它还可以与模拟操作系统或手机上其他应用程序生成的对话框的提示结合使用，以诱骗用户加载恶意内容。

Firefox for Android 现在从版本 49 开始具有振动权限提示（页面来源；相关错误报告）：