360显危镜免费提供“应用克隆”漏洞自动化检测服务

近期国内多款知名手机APP被曝光存在“应用克隆”漏洞。攻击者利用该漏洞，可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等，国内约10%的主流APP受到漏洞影响。

作为中国领先的网络安全厂商，360旗下APP从产品开发阶段就已对“应用克隆”攻击威胁进行全面预防，完全不受此次漏洞影响。

针对移动应用厂商和开发者，360旗下自动化漏洞检测平台360显危镜即日起将提供免费技术援助，为大家提供Android应用克隆攻击漏洞检测服务，协助开发者修复“应用克隆”漏洞。

根据360信息安全中心的评估，“应用克隆”漏洞攻击模型中主要涉及到两个过程，一是数据读取，二是数据复制。在数据读取过程中主要涉及到WebView的跨源攻击，因为Android沙盒的存在，两个应用之间一般情况下是不可以进行文件的相互访问，但不正确的使用WebView可能会打破这种隔离。WebView未禁用file域访问，允许file域访问http域，且未对file域的路径进行严格限制的情况下，攻击者通过URLScheme的方式，可远程打开并加载恶意HTML文件，远程获取APP中包括用户登录凭证在内的所有本地敏感数据，并外传到攻击者的服务器。

漏洞的攻击链条中，需要利用多个漏洞才能实现，因此可有多种方式截断该攻击的实现方式。针对上述几个问题，只要从任何一点截断，即可极大程度上杜绝该漏洞攻击的实现。

修复建议：

1.在使用Webview时，对于不需要使用file协议的应用，禁用file协议

2.对于需要使用file协议的应用，禁止file协议调用javascript

3.设置file域白名单，检查file域路径避免被绕过

Android应用克隆攻击漏洞检测服务网址：

http://appscan.360.cn/tool/