通付盾移动安全实验室推出“应用克隆”漏洞免费检测服务

1月9日， 国家信息安全漏洞共享平台发布《关于Android WebView存在跨域访问漏洞》（简称“应用克隆”）的安全公告。公告指出，攻击者可利用该漏洞，远程获取用户隐私数据（包括手机应用数据、照片、文档等敏感信息），还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。

漏洞公布之后，通付盾移动安全实验室第一时间展开技术攻关，将该漏洞检测项更新到自主研发的动静双擎检测引擎当中，与此同时，开启了为广大开发者及企业提供免费“应用克隆”漏洞检测的服务。

为了让移动应用开发者及移动互联网企业对漏洞细节、漏洞攻击过程、漏洞触发条件等有更全面的了解，实验室针对此次漏洞做了相关分析（以下供参考）：

漏洞攻击还原

此次漏洞产生的原因是在Android应用中，WebView开启了File域访问，且允许File域对Http域进行访问，同时未对File域的路径进行严格限制所致。通付盾移动安全专家针对漏洞原理进行了深入研究，指出了攻击者利用该漏洞的攻击过程：

根据攻击视频初步复原账号“应用克隆”漏洞的攻击过程图

漏洞触发条件

含有该WebView的Activity是导出的；

该WebView的setAllowFileAccess API 未设置为false；

该WebView的setJavaScriptEnabled为true。较为安全的程序代码可能在此处针对不同协议进行区分，若加载的URL是http或https协议，则开放此接口，若是其他危险协议，如file协议，则禁用此接口。但是，禁用file协议的JS执行能够被绕过（见File域同源绕过漏洞），因此仅能够在一定程度上减弱跨源漏洞的威胁；

该WebView的setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs API为true。

漏洞修复建议

1. file域访问为非功能需求时，手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。（Android4.1版本之前这两个API默认是true，需要显式设置为false）

2. 若需要开启file域访问，则设置file路径的白名单，严格控制file域的访问范围，具体如下：

（1）固定不变的HTML文件可以放在assets或res目录下，file:///android_asset和file:///android_res 在不开启API的情况下也可以访问；

（2）可能会更新的HTML文件放在/data/data/(app) 目录下，避免被第三方替换或修改；

（3）对file域请求做白名单限制时，需要对“../../”特殊情况进行处理，避免白名单被绕过。

3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等；

4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息（如IMEI、IMSI、Android_id等）作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。

通付盾移动安全专家建议，移动互联网企业应加强自身应用的漏洞检测，加强对移动应用加固保护，防止代码轻易被破解，被黑客攻击利用，给企业及用户造成无法挽回的经济与财产损失。

在移动安全形势异常复杂的环境下，保障应用安全和用户信息安全对移动互联网企业至关重要，通付盾移动安全实验室希望将自身的移动应用安全防护能力输出给更多的用户及企业，与全社会一起，共创安全可信的APP应用环境，建立、建全移动互联网安全生态圈。