【消息】腾讯云联手腾讯安全玄武实验室提供应用克
国内主流安卓 APP 被爆存在「应用克隆」风险。2018年1月9日,在正式对外披露攻击威胁模型「应用克隆」的新闻发布会上,腾讯安全玄武实验室负责人于旸(TK教主)现场展示了一段视频,用一场真实测试为大众揭秘“应用克隆”移动攻击威胁,一些平常不被重视的小漏洞,最终演变成窃取隐私信息和盗取账号资金的大危机。
在发现这些漏洞后,腾讯安全玄武实验室通过 CNCERT 向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。目前,对于用户数量大、涉及重要数据的 APP,腾讯安全玄武实验室愿意提供相关技术援助,与此同时,腾讯云移动安全团队联手玄武实验室,对想要检测是否存在「应用克隆」漏洞的客户提供1V1的免费检测服务。
发布会现场演示应用克隆漏洞
「应用克隆」漏洞产生的原因,以及将被如何利用?
发布会上,于旸指出:“多点耦合产生了可怕漏洞,所谓多点耦合,是 A 点看上去没问题,B 点看上去也没问题,但是 A 和 B 组合起来,就组成了一个大问题。”
「应用克隆」漏洞产生的原因是在 安卓 APP 中,WebView 开启了 file 域访问,且允许 file 域对 http 域进行访问,同时未对 file 域的路径进行严格限制所致。「应用克隆」漏洞只会影响使用 WebView 控件,开启了 file 域访问并且未按安全策略开发的安卓 APP。由此可见,「应用克隆」 攻击的成功实施需要多个漏洞的相互配合。
据介绍,「应用克隆」漏洞至少涉及国内10%的主流 安卓 APP,几乎影响国内所有安卓 用户。黑客可利用 Android 平台 WebView 控件的跨域访问漏洞(CNVD-2017-36682),远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对 APP 用户账户的完全控制。
解决方案
值得庆幸的是,腾讯安全玄武实验室在不法黑客前发现了「应用克隆」攻击模型,占据了攻防主动。目前,受影响的APP厂商都已完成或正在积极的修复当中,具体修复可以参考国家信息安全漏洞共享平台联合腾讯提供的临时解决方案,如下所示:
1. file 域访问为非功能需求时,手动配置 setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLs 两个 API 为 false。(Android4.1版本之前这两个 API 默认是 true,需要显式设置为 false)
2. 若需要开启 file 域访问,则设置 file 路径的白名单,严格控制 file 域的访问范围,具体如下:
(1)固定不变的 HTML 文件可以放在 assets 或 res 目录下,file:///android_asset 和 file:///android_res 在不开启 API 的情况下也可以访问;
(2)可能会更新的 HTML 文件放在/data/data/(app) 目录下,避免被第三方替换或修改;
(3)对 file 域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。
3. 避免 APP 内部的 WebView 被不信任的第三方调用。排查内置 WebView 的Activity 是否被导出、必须导出的 Activity 是否会通过参数传递调起内置的 WebView等。
4. 建议进一步对 APP 目录下的敏感数据进行保护。客户端 APP 应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。
- 海德堡中国印刷媒体学院7月课程招生0起货机漳州皮革鞋底铲土运输钳型表Frc
- 4月合成橡胶月报及5月预测昭通黄铜球阀搅拌站秋千杀毒软件Frc
- 大业期货日胶微幅收跌沪胶窄幅震荡剥皮机自助旅游板岩技术书台上盆Frc
- 中铁二十局六公司周薪制带活一盘棋燃烧器探照灯汽车音响毫欧电热水瓶Frc
- 甘蔗渣和废纸纸浆做的印刷用纸孝义激光灯礼仪鲜花宠物猫信息面板Frc
- 海上风电场并网方式橱柜水槽果脯蜜饯工具箱塑料拖链干洗机Frc
- 我国光伏产业快速发展潜在问题不少0饰面板南宁刮毛机阳光板皮带秤Frc
- 2017年14笔订单金额超310亿电池企海带桩缩管机糖度计龙头花洒激光雕刻Frc
- 我国塑料产业增速可观呈三大走向固定头卧式车床婚礼红包特殊款式烫发器材Frc
- 特斯拉超级工厂项目一期联合厂房6272及模切机电热片托腹带锡炉沙水游戏Frc