爱加密自动检测平台为APP免费检测“应用克隆”漏洞
时间:2018-02-05
2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。
由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。攻击威胁模型“应用克隆”漏洞让支付宝、京东到家、饿了么、携程等27款APP的安卓版纷纷中招。黑客可以利用该漏洞远程“克隆”一个跟你账户一模一样的APP,还顺便帮你花钱甚至干各种让你无法想象的勾当,你几乎处于裸奔的状态,并且如果你装的APP足够多,那你手机里的APP们可能手牵着手裸奔。
爱加密专业防护方案
对于该漏洞,爱加密的自动化检测平台(http://www.ijiami.cn/apply/safeUploadAPP)可为用户提供针对性免费检测服务,其中的webView控件跨域访问漏洞检测功能对此漏洞实现检测;修复完成后,可再次通过爱加密的人工渗透分析复查,通过资深测试人员进行检测分析,人工安装运行及试用来圈定检测重点,综合运用移动应用渗透测试技术,在涵盖基础检测和深度检测的同时,兼顾侧重点检测多种手段全面检测漏洞,实现全方位深度检测。
同时,爱加密也为用户提供了修复建议:file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false;若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围。同时,通过爱加密加固方案进行加固可以达到更深层的防护。
其中静态加固方案会针对APP中敏感文件,包括H5文件、密钥文件、资源文件等进行了加密处理,动态加固方案会针对APP动态运行时产生的缓存文件、sharedpreferences文件、数据库文件等进行了加密处理,使攻击者难以利用该漏洞获得敏感信息。
漏洞情况简介
WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外,还可对URL请求、页面加载、渲染、页面交互进行处理。该漏洞产生的原因是在Android应用中,WebView开启了file域访问,且允许file域对http域进行访问,同时未对file域的路径进行严格限制所致。攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据。漏洞影响使用WebView控件,开启file域访问并且未按安全策略开发的Android应用APP。