当前位置:[首页 > 日语资讯 > J.TEST > Android被爆致命漏洞,Testin安全守护钱包]

Android被爆致命漏洞,Testin安全守护钱包

发布: 2018-01-13 06:08 | 来源:www.jptranslate.com | 查 看:

近日,Android平台WebView控件被曝出存在“应用克隆”的高危漏洞(WebView存在跨域访问漏洞),包括支付宝在内的多款应用存在被盗刷的安全风险,这是典型的已知漏洞组合形成的新的攻击场景。

作为国内领先的移动测试平台,早在去年8月,Testin安全测试产品就能够对包括WebView同源策略绕过的这类基础漏洞进行快速检测,提醒用户严格限制WebView对file域的目录与文件的访问。封堵了此类漏洞,也就从根源封堵了应用克隆风险。

图片133.png

“应用克隆”移动攻击威胁模型正式对外披露

1月9日,腾讯安全玄武实验室展示了一台安装了安卓8.1系统(最新版安卓系统)手机被“攻破”的过程,“攻击者”通过一条带有恶意链接的短信,瞬间克隆了被攻击者的支付宝账号信息,然后直接进行消费。这种“应用克隆”漏洞涉及市面上几近十分之一的安卓应用,其中不乏饿了么、携程等主流安卓应用,所以该漏洞几乎影响到国内所有的安卓用户。

据悉,国家信息安全漏洞共享平台(CNVD)在12月份,就接受到Android WebView存在跨域访问漏洞(CNVD-2017-36682)的报告,攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。

国家信息安全漏洞共享平台对相关漏洞综合评级为“高危”,安全技术人专家介绍,WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现Web页面的控件。WebView控件功能除了具有一般View的属性和设置外,还可对URL请求、页面加载、渲染、页面交互进行处理。比如当WebView 允许加载本地文件并启用 JavaScript 时,由于JS可以访问任意本地文件内容并通过http域发送到任意地址,若对可访问的文件路径不做限制和过滤,存在信息泄漏、应用被克隆、被盗号等风险。漏洞修复建议如下:

1、file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false(Android4.1版本之前这两个API默认是true,需要显式设置为false)。

2、若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:

· 固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;

· 可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;

· 对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

3、避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。

4、建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。

在移动互联网时代,应用安全问题更加复杂多变,涉及的技术领域也更多,特别是用户账号体系和数据的安全问题。权威调研数据表明,很多应用并没有经过专门的安全测试就开始推向终端用户,它们携带着各类安全漏洞直接暴露在公众面前。

而其中的一些漏洞,甚至直指软件所承载的核心敏感信息或业务逻辑,一旦这些漏洞被黑客利用,就会给企业直接造成严重的经济损失,本次Android被爆出重大安全漏洞,再次给企业敲响了警钟,Testin也致力于为企业提供最优质、稳定、可靠的安全服务。

Testin安全测试平台,守卫您的钱包安全

从2015年12月,Testin就开始在安全测试领域完成战略布局,新成立的安全测试团队汇集了来自微软、阿里巴巴、HP、绿盟、华为等多家企业顶级安全专家和技术人才,基于静态检测、动态检测和恶意分析技术,针对Android应用,提供自动化安全检测,10分钟即可出具完备的报告。

目前,Testin安全团队还提供面向移动应用、服务器应用的安全测评服务,采用代码审计和渗透测试的方式,帮助企业发现强逻辑性、深层次的漏洞,细致解读漏洞与风险,精准定位代码问题,力求帮助企业修复潜在安全问题和漏洞,真正守护好用户“钱包”的安全。