腾讯云联手腾讯安全玄武实验室,提供「应用克

  腾讯云联手腾讯安全玄武实验室“克隆应用克隆”免费测试服务

  国内主流Android应用程序正在经历“应用程序克隆”的风险。 2018年1月9日,在正式披露“应用克隆”攻击威胁模型的新闻发布会上,腾讯安全玄武实验室主任于团(TK领导)公开揭秘“应用程序克隆”移动攻击威胁,一些小漏洞通常不被重视,最终演变成盗窃私人信息和盗窃大型资金账户资金,发现这些漏洞后,腾讯安全玄武实验室通过CNCERT了解相关信息,为防止犯罪分子利用漏洞提供了解决方案,目前腾讯安防宣武实验室愿意向有大量用户和重要数据的用户提供相关技术支持,同时腾讯云移动安全团队与宣武实验室合作,测试是否存在客户1V1免费的“应用程序克隆”漏洞测试服务。会议现场演示应用程序克隆漏洞应用程序克隆利用的原因以及如何利用它?会议上,俞旸表示:“多点耦合产生了可怕的漏洞,所谓的多点耦合,点A看起来没有问题,点B看起来没有问题,但是A和B结合起来形成一个很大的问题。 “应用克隆”漏洞的原因是,在Android APP中,WebView启用文件域访问,并允许文件域访问http域,而不会限制到文件域的路径。 “应用克隆”漏洞只会影响使用WebView控件的Android应用程序,打开文件域访问权限,不会作为安全策略开发。这表明,成功实施“应用程序克隆”攻击需要协调多个漏洞。据介绍,“应用克隆”漏洞涉及国内主流Android APP至少10%,几乎影响到所有国内的Android用户。黑客可以利用Android平台的WebView控制跨域访问漏洞(CNVD-2017-36682),远程访问用户的隐私数据(包括移动应用数据,照片,文档等敏感信息),还可以窃取用户的登录凭证,不了解情况,以实现对APP用户帐户的完全控制。幸好,腾讯安全玄武实验室在非法黑客攻击面前发现了“应用克隆”攻击模式,占据了攻防的主动权。目前,受影响的APP厂商已经完成或正在积极修复,具体修复可以参考国家信息安全漏洞共享平台结合腾讯临时解决方案,具体如下:1.文件域访问非功能需求,手动配置setAllowFileAccessFromFileURLs或者setAllowUniversalAccessFromFileURLs这两个API都是错误的。 (Android4.1以前版本的两个API默认为true,需要明确设置为false)2.如果需要打开文件域的访问权限,请设置文件路径白名单,严格控制文件域的访问范围,如下所示: (1)固定的HTML文件可以放置在assets或res目录下,file:/// android_asset和file:/// android_res也可以在不打开API的情况下访问; (2)可能被更新的HTML文件在/ data / data /(app)目录中,以避免被第三方替换或修改; (3)将域名请求列入白名单,需要处理“../../”特殊情况,避免白名单被绕过。 3避免内部WebView APP不受信任的第三方调用。检出内置的WebView Activity导出后,必须导出Activity才能传递参数调入内置的WebView等等。 4.建议进一步保护APP目录中的敏感数据。客户端APP应用设备相关信息(如IMEI,IMSI,Android_id等)作为加密敏感数据的关键。使攻击者难以利用漏洞获取敏感信息。