域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

近期國(guó)內(nèi)多款安卓版知名手機(jī)APP被曝光存在“應(yīng)用克隆”漏洞。攻擊者利用該漏洞，可以輕松“克隆”用戶賬戶，竊取隱私信息，盜取賬號(hào)及資金等，國(guó)內(nèi)約10%的主流APP受到漏洞影響。作為中國(guó)領(lǐng)先的網(wǎng)絡(luò)安全廠商，360旗下APP從產(chǎn)品開(kāi)發(fā)階段就已對(duì)“應(yīng)用克隆”攻擊威脅進(jìn)行全面預(yù)防，完全不受此次漏洞影響。

360旗下的360加固保聯(lián)合自動(dòng)化漏洞檢測(cè)平臺(tái)360顯危鏡，針對(duì)該問(wèn)題，第一時(shí)間上線解決方案，提供免費(fèi)的在線安全掃描服務(wù)，開(kāi)發(fā)者只需登錄加固官網(wǎng)(http://jiagu.# )，選擇“安全掃描”服務(wù)，一鍵上傳應(yīng)用，即可獲得專(zhuān)業(yè)的安全風(fēng)險(xiǎn)報(bào)告。

需要注意的是，如果報(bào)告中同時(shí)存在“WebView存在本地接口”和“WebView啟動(dòng)訪問(wèn)文件數(shù)據(jù)”兩個(gè)漏洞風(fēng)險(xiǎn)，開(kāi)發(fā)者就要尤其注意，通過(guò)人工檢測(cè)的方法判斷APP是否有被利用的安全風(fēng)險(xiǎn)。

根據(jù)360信息安全中心的評(píng)估，“應(yīng)用克隆”漏洞攻擊模型中主要涉及到兩個(gè)過(guò)程，一是數(shù)據(jù)讀取，二是數(shù)據(jù)復(fù)制。在數(shù)據(jù)讀取過(guò)程中主要涉及到WebView的跨源攻擊，因?yàn)锳ndroid沙盒的存在，兩個(gè)應(yīng)用之間一般情況下是不可以進(jìn)行文件的相互訪問(wèn)，但不正確的使用WebView可能會(huì)打破這種隔離。WebView未禁用file域訪問(wèn)，允許file域訪問(wèn)http域，且未對(duì)file域的路徑進(jìn)行嚴(yán)格限制的情況下，攻擊者通過(guò)URL Scheme的方式，可遠(yuǎn)程打開(kāi)并加載惡意HTML文件，遠(yuǎn)程獲取APP中包括用戶登錄憑證在內(nèi)的所有本地敏感數(shù)據(jù)，并外傳到攻擊者的服務(wù)器。

由于漏洞的攻擊鏈條中，需要利用多個(gè)漏洞才能實(shí)現(xiàn)，因此可有多種方式截?cái)嘣摴舻膶?shí)現(xiàn)方式。針對(duì)上述幾個(gè)問(wèn)題，只要從任何一點(diǎn)截?cái)啵纯蓸O大程度上杜絕該漏洞攻擊的實(shí)現(xiàn)。

修復(fù)建議：

1. 在使用Webview時(shí)，對(duì)于不需要使用file協(xié)議的應(yīng)用，禁用file協(xié)議。

setAllowFileAccess可以設(shè)置是否允許WebView使用File協(xié)議，默認(rèn)值是允許，如果不允許使用File協(xié)議，則不會(huì)存在跨源的安全威脅。

2. 對(duì)于需要使用file協(xié)議的應(yīng)用，禁止file協(xié)議調(diào)用javascript。

setJavaScriptEnabled可以設(shè)置是否允許WebView使用JavaScript,默認(rèn)是不允許，但很多應(yīng)用，包括移動(dòng)瀏覽器為了讓W(xué)ebView執(zhí)行http協(xié)議中的javascript，都會(huì)主動(dòng)設(shè)置允許WebView執(zhí)行Javascript，而又不會(huì)對(duì)不同的協(xié)議區(qū)別對(duì)待，比較安全的實(shí)現(xiàn)是如果加載的url是http或https協(xié)議，則啟用javascript,如果是其它危險(xiǎn)協(xié)議，如是file協(xié)議，則禁用javascript。

3. 設(shè)置file域白名單，檢查file域路徑避免被繞過(guò)。

固定不變的HTML文件可以放到assets或res目錄，可能會(huì)更新的HTML文件放到應(yīng)用私有目錄下，避免被第三方替換或修改，對(duì)file域請(qǐng)求做白名單限制時(shí)，需要對(duì)“../../”特殊情況進(jìn)行處理，避免白名單被繞過(guò)。

360加固保一直致力于守護(hù)為移動(dòng)應(yīng)用安全，會(huì)及時(shí)推送安全相關(guān)資訊、第一時(shí)間發(fā)布漏洞預(yù)警，提供解決方案，關(guān)注微信公眾號(hào)(360加固保)，為移動(dòng)應(yīng)用安全保駕護(hù)航。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！