主流安卓APP都中招了!“应用克隆漏洞”的快速检测修复方案
2018-01-19 19:01
483 查看
2018年1月9日, 国家信息安全漏洞共享平台发布了关于Android平台WebView控件存在跨域访问高危漏洞的安全公告。
漏洞描述:
攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。
影响范围:
国内多款安卓版知名手机APP被曝光存在“应用克隆”漏洞,约10%的主流APP受到漏洞影响。作为中国领先的网络安全厂商,360旗下APP从产品开发阶段就已对“应用克隆”攻击威胁进行全面预防,完全不受此次漏洞影响。
如何检测:
1. 使用360旗下代码检测工具火线进行代码检测。
2. 下载火线Android Studio插件(推荐开发人员使用)或者火线Jenkins插件(推荐测试人员使用)。
3. 代码检测完成后查看火线报告,确认项目代码是否存在“应用克隆漏洞”。
修复建议:
1. file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)
2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:
(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;
(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;
(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。
3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。
4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。
漏洞描述:
攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。
影响范围:
国内多款安卓版知名手机APP被曝光存在“应用克隆”漏洞,约10%的主流APP受到漏洞影响。作为中国领先的网络安全厂商,360旗下APP从产品开发阶段就已对“应用克隆”攻击威胁进行全面预防,完全不受此次漏洞影响。
如何检测:
1. 使用360旗下代码检测工具火线进行代码检测。
2. 下载火线Android Studio插件(推荐开发人员使用)或者火线Jenkins插件(推荐测试人员使用)。
3. 代码检测完成后查看火线报告,确认项目代码是否存在“应用克隆漏洞”。
修复建议:
1. file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)
2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:
(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;
(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;
(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。
3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。
4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。
相关文章推荐
- 主流安卓APP遭遇“应用克隆”危机,快速检测修复方案出炉
- 关于主流安卓APP遭遇“应用克隆”危机的处理方法
- 看看什么App最先进!安卓应用检测小工具
- Web漏洞检测及修复方案
- Linux glibc幽灵漏洞检测及修复方案
- 360网站安全检测平台4月所爆DEDECMS高危漏洞的修复方案
- Linux Glibc库安全漏洞检测方法和修复方案
- 360网站安全检测平台4月所爆DEDECMS高危漏洞的修复方案
- ElasticSearch Groovy脚本远程代码执行漏洞检测脚本和修复方案
- Linux Glibc库严重安全漏洞检测与修复方案
- 全面支持“应用克隆”风险检测,海云安推出修复建议
- Linux Glibc库严重安全漏洞检测与修复方案
- 腾讯公布“应用克隆”攻击模型 防御安卓系统手机漏洞
- 安卓APP漏洞有哪些?在线免费App漏洞检测!
- Linux glibc幽灵(GHOST)漏洞检测及修复方案
- 27款主流安卓APP高危漏洞,可复制账户盗刷资金
- URL存在http host头攻击漏洞-修复方案
- MySQL DROP DB或TABLE场景下借助SQL Thread快速应用binlog恢复方案
- 快速生成移动设备应用图标的在线工具 - makeappicon
- 爱加密apk漏洞检测 app遏制手机病毒