腾讯云联手腾讯安全玄武实验室,提供「应用克隆」漏洞免费检测服务

国内主流安卓 APP 被爆存在「应用克隆」风险。2018年1月9日,在正式对外披露攻击威胁模型「应用克隆」的新闻发布会上,腾讯安全玄武实验室负责人于旸(TK教主)现场展示了一段视频,用一场真实测试为大众揭秘“应用克隆”移动攻击威胁,一些平常不被重视的小漏洞,最终演变成窃取隐私信息和盗取账号资金的大危机。

在发现这些漏洞后,腾讯安全玄武实验室通过 CNCERT 向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。目前,对于用户数量大、涉及重要数据的 APP,腾讯安全玄武实验室愿意提供相关技术援助,与此同时,腾讯云移动安全团队联手玄武实验室,对想要检测是否存在「应用克隆」漏洞的客户提供1V1的免费检测服务。

△ 发布会现场演示应用克隆漏洞

「应用克隆」漏洞产生的原因

以及将被如何利用?

发布会上,于旸指出:“多点耦合产生了可怕漏洞,所谓多点耦合,是 A 点看上去没问题,B 点看上去也没问题,但是 A 和 B 组合起来,就组成了一个大问题。”

「应用克隆」漏洞产生的原因是在 安卓 APP 中,WebView 开启了 file 域访问,且允许 file 域对 http 域进行访问,同时未对 file 域的路径进行严格限制所致。「应用克隆」漏洞只会影响使用 WebView 控件,开启了 file 域访问并且未按安全策略开发的安卓 APP。由此可见,「应用克隆」 攻击的成功实施需要多个漏洞的相互配合。

据介绍,「应用克隆」漏洞至少涉及国内10%的主流 安卓 APP,几乎影响国内所有安卓 用户。黑客可利用 Android 平台 WebView 控件的跨域访问漏洞(CNVD-2017-36682),远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对 APP 用户账户的完全控制。

解决方案

值得庆幸的是,腾讯安全玄武实验室在不法黑客前发现了「应用克隆」攻击模型,占据了攻防主动。目前,受影响的 APP 厂商都已完成或正在积极的修复当中,具体修复可以参考国家信息安全漏洞共享平台联合腾讯提供的临时解决方案,如下所示:

1、file 域访问为非功能需求时,手动配置 setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLs 两个 API 为 false。(Android4.1版本之前这两个 API 默认是 true,需要显式设置为 false)

2、若需要开启 file 域访问,则设置 file 路径的白名单,严格控制 file 域的访问范围,具体如下:

1>固定不变的 HTML 文件可以放在 assets 或 res 目录下,file:///android_asset 和 file:///android_res 在不开启 API 的情况下也可以访问;

2> 可能会更新的 HTML 文件放在/data/data/(app) 目录下,避免被第三方替换或修改;

3> 对 file 域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

3、避免 APP 内部的 WebView 被不信任的第三方调用。排查内置 WebView 的Activity 是否被导出、必须导出的 Activity 是否会通过参数传递调起内置的 WebView 等。

4、建议进一步对 APP 目录下的敏感数据进行保护。客户端 APP 应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。

划重点的分割线

如需腾讯云移动安全团队为您提供的1V1免费检测服务,请在微信公众号留言,提供以下信息给我们:

客户名称

应用名称

应用下载链接

也可联系客服 QQ:619423293

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2018-01-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序你好

如何保证你的智能手机安全和私密,手机安全需要做到的事

近十年以来,智能手机的应用越来广泛,各种流行的App层出不穷,可以说iPhone这样的智能手机已经彻底改变了我们的生活和行为习惯。请允许我指出一个显而易见的事实...

602
来自专栏FreeBuf

恶意软件防卫指南(下):远离网络安全威胁,让电信诈骗分子见鬼去吧

请你设想这样一个场景:你打开了你的电脑,系统花了大半天的时间才终于启动成功。当你的电脑桌面显示出来之后,你发现桌面上莫名其妙地多出了几个你从未见过的应用程序图标...

1888
来自专栏云加新鲜事儿

【腾讯云的1001种玩法】征文活动获奖名单公布

腾讯云技术社区「腾云阁」举办【腾讯云的1001种玩法】征文活动吸引了大量程序员们入驻社区。活动期间,一共征集到来自 42 位作者的 83 篇征文。经过评委老师从...

9990
来自专栏ATYUN订阅号

【业界】Facebook对收集用户通话和短信数据的言论作出了回应

AiTechYun 编辑:nanan ? 也许你可以查看一下你的数据档案,看看Facebook的算法是否知道你打过电话给谁。 Facebook对有关收集通话和短...

3317
来自专栏FreeBuf

基于Wifipineapple对无线安全情况的综合性调查与研究

本项目已荣获2017年福建省第32届青少年科技创新大赛一等奖 摘要:通过设计并进行试验、实地调查等方式,对无线安全的情况进行综合性的调查与研究,最终提出合理化建...

1919
来自专栏视频加密

自由定制视频播放器,不要太好用哦!

先来说一说问什么要定制视频播放器?市面上那么多像西瓜影音、吉吉影音等大量的视频播放器,还不够用吗?当然可以,但是满足特定群体的需求我们就需要定制一款自有的视频播...

1606
来自专栏腾讯云安全的专栏

腾讯云联手腾讯安全玄武实验室,提供「应用克隆」漏洞免费检测服务

腾讯云移动安全团队联手玄武实验室,对想要检测是否存在「应用克隆」漏洞的客户提供1V1的免费检测服务。

2168
来自专栏FreeBuf

谷歌可远程更改安卓设备密码,影响74%设备

根据纽约地区检察官办公室的一份报告所述,只要有法院命令,谷歌能够非常容易地远程重置旧版本Android系统的密码,调查人员可以轻易地查看设备上的内容。 这份报告...

1867
来自专栏ytkah

为了安全微信公众平台将逐步开启帐号扫码登录

  4月5日消息,为了公众号的安全微信公众平台将逐步开启帐号扫码登录。帐号安全与公众号运营者的利益密切相关,一旦帐号密码泄露,有可能被盗号者利用来发送欺诈等恶意...

2885
来自专栏云加新鲜事儿

【腾讯云的1001种玩法】征文活动

腾讯云技术社区「腾云阁」上线以来得到了广大程序员们的支持,为了吸引更多的开发者入驻,现再次举办【腾讯云的1001种玩法】征文活动。只要是与「腾讯云」相关的干货原...

6K0

扫码关注云+社区