关于腾讯玄武实验室公布的应用克隆漏洞的一些思考

2018-01-09 国家信息安全漏洞共享平台 公布了 《关于Android平台WebView控件存在跨域访问高危漏洞的安全公告》

另外,关于该漏洞的原理 这里 有个补充说明:

从上文中我们可以看出是由于 WebView 的 file 跨域问题,使应用加载的 JavaScript 可以获取应用的 私有数据 (即 /data/data/packageName/ 下的文件)导致的这个漏洞,其中涉及到了 2 个方法: setAllowFileAccessFromFileURLs 和 setAllowUniversalAccessFromFileURLs 。下面是这 2 个方法的源码:

setAllowUniversalAccessFromFileURLs

/**
 * Sets whether JavaScript running in the context of a file scheme URL
 * should be allowed to access content from any origin. This includes
 * access to content from other file scheme URLs. 
 * ...
 */
public abstract void setAllowUniversalAccessFromFileURLs(boolean flag);

setAllowFileAccessFromFileURLs

/**
 * Sets whether JavaScript running in the context of a file scheme URL
 * should be allowed to access content from other file scheme URLs. To
 * enable the most restrictive, and therefore secure policy, this setting
 * should be disabled. Note that the value of this setting is ignored if
 * the value of {@link #getAllowUniversalAccessFromFileURLs} is true.
 * Note too, that this setting affects only JavaScript access to file scheme
 * resources. Other access to such resources, for example, from image HTML
 * elements, is unaffected. 
 * ...
 */
public abstract void setAllowFileAccessFromFileURLs(boolean flag);

根据这 2 个方法的注释,我们可以得到这样的结论:如果要通过 JavaScript 获得应用的私有数据,WebView 必须通过 loadUrl(“file:///XXXXXXXXXX”) 的形式访问本地文件,那么 loadUrl 可以访问其它 app 的私有数据吗?很明显如果用户没有将手机 Root ,一个 app 的是无法直接通过 file:///XXXX 的形式访问其它 app 的私有数据的。所以,对于一个没有 Root 的手机我们可以得到利用该漏洞的一般步骤(这里还以支付宝为例):

  1. 向用户下发一个包含上传应用私有数据代码的 html 文件,假设在用户手机上存放为 /sdcard/appcopy.html ;
  2. 利用支付宝扫码得到二维码信息 “file:///sdcard/appcopy.html” 或通过短信中携带该信息的方式让用户主动选择使用支付宝打开 ;
  3. 复制用户信息并上传给黑客;
  4. 黑客拿到信息写入自己的手机,并打开支付宝;
  5. 支付宝没有校验手机的 Mac , IMEI 等各种硬件信息,导致登录成功,黑客成功窃取用户资金;

从上面的步骤来看,黑客首先让用户下载一个有安全隐患的文件,而用户下载文件时往往会有提醒,一般用户都不会随意下载,这一步就可以过滤到大多数用户了。然后,还必须让用户主动使用支付宝打开该文件(因为没有 Root 的手机,一个 app 是无法访问另一个 app 的私有数据的),如果以二维码的方式是很难与受感染的手机进行匹配的,正如玄武实验室提出的方法,利用短信的方式进行诱导;随着人们安全意识的提高,越来越少的人才会点击不明短信中的链接,这里也能过滤到一大部分人。如果 1、2 步能够成功实现 3、4 步就没有什么难点了。接下来是关键的第 5 步,如果我记得没错的话,支付宝从很早就将用户账号和手机硬件进行了绑定,等用户在其它手机进行登录的时候,支付宝会向用户绑定的手机号发送短信验证,只要用户手机卡不丢失,黑客也是 无法窃取用户资金 的。另外,setAllowFileAccessFromFileURLs 和 setAllowUniversalAccessFromFileURLs 在 android 4.1 之后是默认关闭的,考虑到国内大部分手机系统版本都在 android 4.1 以上,大多数情况下使用 WebView 也不会存在该漏洞。

综上所述: 能够利用该漏洞的前提条件十分苛刻,是很难成功的,这也是该漏洞从 12年3月 首次被发现到现在没有爆发的原因之一,我们不用过分担心。

如果文中有什么不妥之处,还望斧正。

你可能感兴趣的:(Android安全,应用克隆漏洞,玄武实验室,android,WebView)