《网络世界》报社 · China Network World

爱加密自动检测平台为APP免费检测“应用克隆”漏洞

2018年01月12日 16:10:04

作者:

来源:

  2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。攻击威胁模型“应用克隆”漏洞让支付宝、京东到家、饿了么、携程等27款App的安卓版纷纷中招。黑客可以利用该漏洞远程“克隆”一个跟你账户一模一样的App,还顺便帮你花钱甚至干各种让你无法想象的勾当,你几乎处于裸奔的状态,并且如果你装的App足够多,那你手机里的App们可能手牵着手裸奔。

  爱加密专业防护方案

  对于该漏洞,爱加密的自动化检测平台可为用户提供针对性免费检测服务,其中的webView控件跨域访问漏洞检测功能对此漏洞实现检测;修复完成后,可再次通过爱加密的人工渗透分析复查,通过资深测试人员进行检测分析,人工安装运行及试用来圈定检测重点,综合运用移动应用渗透测试技术,在涵盖基础检测和深度检测的同时,兼顾侧重点检测多种手段全面检测漏洞,实现全方位深度检测。

  同时,爱加密也为用户提供了修复建议:file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false;若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围。

  同时,通过爱加密加固方案进行加固可以达到更深层的防护。其中静态加固方案会针对APP中敏感文件,包括H5文件、密钥文件、资源文件等进行了加密处理,动态加固方案会针对APP动态运行时产生的缓存文件、sharedpreferences文件、数据库文件等进行了加密处理,使攻击者难以利用该漏洞获得敏感信息。

  漏洞情况简介

  WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外,还可对URL请求、页面加载、渲染、页面交互进行处理。该漏洞产生的原因是在Android应用中,WebView开启了file域访问,且允许file域对http域进行访问,同时未对file域的路径进行严格限制所致。攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据。漏洞影响使用WebView控件,开启file域访问并且未按安全策略开发的Android应用APP。


0人觉得很赞
Copyright©cnw.com.cn,All rights reserved 京ICP备05036515号-1 京公网安备:11010802013170号 cnw.com.cn版权所有,未经许可不得转载和复制 意见留言板