當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

國內(nèi)10% APP都能被克隆 360加固保率先提供漏洞檢測服務(wù)

 2018-01-10 20:12  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

近期國內(nèi)多款安卓版知名手機APP被曝光存在“應(yīng)用克隆”漏洞。攻擊者利用該漏洞,可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號及資金等,國內(nèi)約10%的主流APP受到漏洞影響。作為中國領(lǐng)先的網(wǎng)絡(luò)安全廠商,360旗下APP從產(chǎn)品開發(fā)階段就已對“應(yīng)用克隆”攻擊威脅進(jìn)行全面預(yù)防,完全不受此次漏洞影響。

360旗下的360加固保聯(lián)合自動化漏洞檢測平臺360顯危鏡,針對該問題,第一時間上線解決方案,提供免費的在線安全掃描服務(wù),開發(fā)者只需登錄加固官網(wǎng)(http://jiagu.# ),選擇“安全掃描”服務(wù),一鍵上傳應(yīng)用,即可獲得專業(yè)的安全風(fēng)險報告。

需要注意的是,如果報告中同時存在“WebView存在本地接口”和“WebView啟動訪問文件數(shù)據(jù)”兩個漏洞風(fēng)險,開發(fā)者就要尤其注意,通過人工檢測的方法判斷APP是否有被利用的安全風(fēng)險。

 

根據(jù)360信息安全中心的評估,“應(yīng)用克隆”漏洞攻擊模型中主要涉及到兩個過程,一是數(shù)據(jù)讀取,二是數(shù)據(jù)復(fù)制。在數(shù)據(jù)讀取過程中主要涉及到WebView的跨源攻擊,因為Android沙盒的存在,兩個應(yīng)用之間一般情況下是不可以進(jìn)行文件的相互訪問,但不正確的使用WebView可能會打破這種隔離。WebView未禁用file域訪問,允許file域訪問http域,且未對file域的路徑進(jìn)行嚴(yán)格限制的情況下,攻擊者通過URL Scheme的方式,可遠(yuǎn)程打開并加載惡意HTML文件,遠(yuǎn)程獲取APP中包括用戶登錄憑證在內(nèi)的所有本地敏感數(shù)據(jù),并外傳到攻擊者的服務(wù)器。

由于漏洞的攻擊鏈條中,需要利用多個漏洞才能實現(xiàn),因此可有多種方式截斷該攻擊的實現(xiàn)方式。針對上述幾個問題,只要從任何一點截斷,即可極大程度上杜絕該漏洞攻擊的實現(xiàn)。

修復(fù)建議:

1. 在使用Webview時,對于不需要使用file協(xié)議的應(yīng)用,禁用file協(xié)議。

setAllowFileAccess可以設(shè)置是否允許WebView使用File協(xié)議,默認(rèn)值是允許,如果不允許使用File協(xié)議,則不會存在跨源的安全威脅。

2. 對于需要使用file協(xié)議的應(yīng)用,禁止file協(xié)議調(diào)用javascript。

setJavaScriptEnabled可以設(shè)置是否允許WebView使用JavaScript,默認(rèn)是不允許,但很多應(yīng)用,包括移動瀏覽器為了讓W(xué)ebView執(zhí)行http協(xié)議中的javascript,都會主動設(shè)置允許WebView執(zhí)行Javascript,而又不會對不同的協(xié)議區(qū)別對待,比較安全的實現(xiàn)是如果加載的url是http或https協(xié)議,則啟用javascript,如果是其它危險協(xié)議,如是file協(xié)議,則禁用javascript。

3. 設(shè)置file域白名單,檢查file域路徑避免被繞過。

固定不變的HTML文件可以放到assets或res目錄,可能會更新的HTML文件放到應(yīng)用私有目錄下,避免被第三方替換或修改,對file域請求做白名單限制時,需要對“../../”特殊情況進(jìn)行處理,避免白名單被繞過。

360加固保一直致力于守護(hù)為移動應(yīng)用安全,會及時推送安全相關(guān)資訊、第一時間發(fā)布漏洞預(yù)警,提供解決方案,關(guān)注微信公眾號(360加固保),為移動應(yīng)用安全保駕護(hù)航。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
漏洞檢測

相關(guān)文章

熱門排行

信息推薦