主流安卓APP都中招了！“应用克隆”漏洞的快速检测修复方案

2018年1月9日， 国家信息安全漏洞共享平台发布了关于Android平台WebView控件存在跨域访问高危漏洞的安全公告。

央视也在第一时间进行了报导：

漏洞描述

攻击者利用该漏洞，可远程获取用户隐私数据（包括手机应用数据、照片、文档等敏感信息），还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台，导致大量APP受影响，构成较为严重的攻击威胁。

影响范围

国内多款安卓版知名手机APP被曝光存在“应用克隆”漏洞，约10%的主流APP受到漏洞影响。作为中国领先的网络安全厂商，360旗下APP从产品开发阶段就已对“应用克隆”攻击威胁进行全面预防，完全不受此次漏洞影响。

修复建议

1. file域访问为非功能需求时，手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。（Android4.1版本之前这两个API默认是true，需要显式设置为false）

2. 若需要开启file域访问，则设置file路径的白名单，严格控制file域的访问范围，具体如下：

（1）固定不变的HTML文件可以放在assets或res目录下，file:///android_asset和file:///android_res 在不开启API的情况下也可以访问；

（2）可能会更新的HTML文件放在/data/data/(app) 目录下，避免被第三方替换或修改；

（3）对file域请求做白名单限制时，需要对“../../”特殊情况进行处理，避免白名单被绕过。

3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。

4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息（如IMEI、IMSI、Android_id等）作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。