當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

國(guó)內(nèi)10% APP都能被克隆 360加固保率先提供漏洞檢測(cè)服務(wù)

 2018-01-10 20:12  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過

近期國(guó)內(nèi)多款安卓版知名手機(jī)APP被曝光存在“應(yīng)用克隆”漏洞。攻擊者利用該漏洞,可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號(hào)及資金等,國(guó)內(nèi)約10%的主流APP受到漏洞影響。作為中國(guó)領(lǐng)先的網(wǎng)絡(luò)安全廠商,360旗下APP從產(chǎn)品開發(fā)階段就已對(duì)“應(yīng)用克隆”攻擊威脅進(jìn)行全面預(yù)防,完全不受此次漏洞影響。

360旗下的360加固保聯(lián)合自動(dòng)化漏洞檢測(cè)平臺(tái)360顯危鏡,針對(duì)該問題,第一時(shí)間上線解決方案,提供免費(fèi)的在線安全掃描服務(wù),開發(fā)者只需登錄加固官網(wǎng)(http://jiagu.# ),選擇“安全掃描”服務(wù),一鍵上傳應(yīng)用,即可獲得專業(yè)的安全風(fēng)險(xiǎn)報(bào)告。

需要注意的是,如果報(bào)告中同時(shí)存在“WebView存在本地接口”和“WebView啟動(dòng)訪問文件數(shù)據(jù)”兩個(gè)漏洞風(fēng)險(xiǎn),開發(fā)者就要尤其注意,通過人工檢測(cè)的方法判斷APP是否有被利用的安全風(fēng)險(xiǎn)。

 

根據(jù)360信息安全中心的評(píng)估,“應(yīng)用克隆”漏洞攻擊模型中主要涉及到兩個(gè)過程,一是數(shù)據(jù)讀取,二是數(shù)據(jù)復(fù)制。在數(shù)據(jù)讀取過程中主要涉及到WebView的跨源攻擊,因?yàn)锳ndroid沙盒的存在,兩個(gè)應(yīng)用之間一般情況下是不可以進(jìn)行文件的相互訪問,但不正確的使用WebView可能會(huì)打破這種隔離。WebView未禁用file域訪問,允許file域訪問http域,且未對(duì)file域的路徑進(jìn)行嚴(yán)格限制的情況下,攻擊者通過URL Scheme的方式,可遠(yuǎn)程打開并加載惡意HTML文件,遠(yuǎn)程獲取APP中包括用戶登錄憑證在內(nèi)的所有本地敏感數(shù)據(jù),并外傳到攻擊者的服務(wù)器。

由于漏洞的攻擊鏈條中,需要利用多個(gè)漏洞才能實(shí)現(xiàn),因此可有多種方式截?cái)嘣摴舻膶?shí)現(xiàn)方式。針對(duì)上述幾個(gè)問題,只要從任何一點(diǎn)截?cái)啵纯蓸O大程度上杜絕該漏洞攻擊的實(shí)現(xiàn)。

修復(fù)建議:

1. 在使用Webview時(shí),對(duì)于不需要使用file協(xié)議的應(yīng)用,禁用file協(xié)議。

setAllowFileAccess可以設(shè)置是否允許WebView使用File協(xié)議,默認(rèn)值是允許,如果不允許使用File協(xié)議,則不會(huì)存在跨源的安全威脅。

2. 對(duì)于需要使用file協(xié)議的應(yīng)用,禁止file協(xié)議調(diào)用javascript。

setJavaScriptEnabled可以設(shè)置是否允許WebView使用JavaScript,默認(rèn)是不允許,但很多應(yīng)用,包括移動(dòng)瀏覽器為了讓W(xué)ebView執(zhí)行http協(xié)議中的javascript,都會(huì)主動(dòng)設(shè)置允許WebView執(zhí)行Javascript,而又不會(huì)對(duì)不同的協(xié)議區(qū)別對(duì)待,比較安全的實(shí)現(xiàn)是如果加載的url是http或https協(xié)議,則啟用javascript,如果是其它危險(xiǎn)協(xié)議,如是file協(xié)議,則禁用javascript。

3. 設(shè)置file域白名單,檢查file域路徑避免被繞過。

固定不變的HTML文件可以放到assets或res目錄,可能會(huì)更新的HTML文件放到應(yīng)用私有目錄下,避免被第三方替換或修改,對(duì)file域請(qǐng)求做白名單限制時(shí),需要對(duì)“../../”特殊情況進(jìn)行處理,避免白名單被繞過。

360加固保一直致力于守護(hù)為移動(dòng)應(yīng)用安全,會(huì)及時(shí)推送安全相關(guān)資訊、第一時(shí)間發(fā)布漏洞預(yù)警,提供解決方案,關(guān)注微信公眾號(hào)(360加固保),為移動(dòng)應(yīng)用安全保駕護(hù)航。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
漏洞檢測(cè)

相關(guān)文章

熱門排行

信息推薦