更多内容,欢迎进入海云安网站进一步了解咨询
2018年1月9日,最新攻击威胁模型“应用克隆”一经披露就吸引了多方关注,引发了不少网民的恐慌情绪。新年伊始,网络安全问题又再次成为大众热议的话题。
漏洞描述
“应用克隆”危机是指Android WebView的跨域访问漏洞(CNVD-2017-36682),利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制,相当于可远程“克隆”用户账户、窃取隐私信息、盗取账号及资金等…
WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外,还可对URL请求、页面加载、渲染、页面交互进行处理。
由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。研究显示,市面上200多款常见安卓应用中,有27款应用可被这种方式攻击,占比超过10%。
漏洞产生原理
同源策略(Same Origin Policy)是禁止 JavaScript 进行跨站访问的安全策略。它也是浏览器的沙盒环境所提供的一项制约。目前为止一直使用着“相同主机”这个含糊的用语,而严格来说,“同源”需满足以下全部条件。
-
URL 的主机(FQDN :Fully Qualified Domain Name,全称域名)一致
-
Scheme(协议)一致
-
端口号一致
该漏洞产生的原因是在Android应用中,WebView开启了file域访问,且允许file域对http域进行访问,同时未对file域的路径进行严格限制所致。攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据。
该漏洞触发成功的前提条件如下:
1.WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLsAPI配置为true(minSdk<=4.1 默认为true,minSdk>4.1 默认为false);
2.WebView可以直接被外部调用,并能够加载外部可控的HTML文件。
风险等级
高危
漏洞影响范围
漏洞影响使用WebView控件,开启file域访问并且未按安全策略开发的Android应用APP。
漏洞防护方案
1、漏洞扫描检测
1.1在代码开发审计阶段,使用海云安的SCAP做源代码安全审计
使用SCAP,在开发阶段即可及时发现此漏洞,对该漏洞风险进行规避。
1.2在APP打包上架前,使用海云安的MARS做黑盒测试自查,如下:
海云安MARS对APP的安全检测问题定位颗粒度可达到具体代码类、方法、调用函数、调用模式级别,检测准确率高。
2、开发编码防护
由于google目前暂未发布相应的解决方案,临时解决方案如下:
1. file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)
2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:
(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;
(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;
(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。
3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。
4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。