您的位置:首页>>电脑软件
搜索: 标题  

国内10% APP都能被克隆 360加固保率先提供漏洞检测服务

发布时间:2018-01-10 20:26:51  来源:互联网   编辑:即时新闻  背景:

  近期国内多款安卓版知名手机APP被曝光存在“应用克隆”漏洞。攻击者利用该漏洞,可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等,国内约10%的主流APP受到漏洞影响。作为中国领先的网络安全厂商,360旗下APP从产品开发阶段就已对“应用克隆”攻击威胁进行全面预防,完全不受此次漏洞影响。

  360旗下的360加固保联合自动化漏洞检测平台360显危镜,针对该问题,第一时间上线解决方案,提供免费的在线安全扫描服务,开发者只需登录加固官网(http://jiagu.360.cn ),选择“安全扫描”服务,一键上传应用,即可获得专业的安全风险报告。

  需要注意的是,如果报告中同时存在“WebView存在本地接口”和“WebView启动访问文件数据”两个漏洞风险,开发者就要尤其注意,通过人工检测的方法判断APP是否有被利用的安全风险。

  根据360信息安全中心的评估,“应用克隆”漏洞攻击模型中主要涉及到两个过程,一是数据读取,二是数据复制。在数据读取过程中主要涉及到WebView的跨源攻击,因为Android沙盒的存在,两个应用之间一般情况下是不可以进行文件的相互访问,但不正确的使用WebView可能会打破这种隔离。WebView未禁用file域访问,允许file域访问http域,且未对file域的路径进行严格限制的情况下,攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据,并外传到攻击者的服务器。

  由于漏洞的攻击链条中,需要利用多个漏洞才能实现,因此可有多种方式截断该攻击的实现方式。针对上述几个问题,只要从任何一点截断,即可极大程度上杜绝该漏洞攻击的实现。

  修复建议:

  1. 在使用Webview时,对于不需要使用file协议的应用,禁用file协议。

  setAllowFileAccess可以设置是否允许WebView使用File协议,默认值是允许,如果不允许使用File协议,则不会存在跨源的安全威胁。

  2. 对于需要使用file协议的应用,禁止file协议调用javascript。

  setJavaScriptEnabled可以设置是否允许WebView使用JavaScript,默认是不允许,但很多应用,包括移动浏览器为了让WebView执行http协议中的javascript,都会主动设置允许WebView执行Javascript,而又不会对不同的协议区别对待,比较安全的实现是如果加载的url是http或https协议,则启用javascript,如果是其它危险协议,如是file协议,则禁用javascript。

  3. 设置file域白名单,检查file域路径避免被绕过。

  固定不变的HTML文件可以放到assets或res目录,可能会更新的HTML文件放到应用私有目录下,避免被第三方替换或修改,对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

  360加固保一直致力于守护为移动应用安全,会及时推送安全相关资讯、第一时间发布漏洞预警,提供解决方案,关注微信公众号(360加固保),为移动应用安全保驾护航。




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

  声明:本文仅为传递更多网络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。


返回rb88游戏皇 本文来源:互联网

本文评论
服务平台时代,办公软件如何搞定新一代用户?
1月6日,第五届中国互联网运营大会(IOCON 2018)在上海举行,金山办公首次对外曝光了下一代的WPS Off...
日期:01-12
频繁弹窗怎么破?360清理大师助你答题免打扰
最近,《百万赢家》、《冲顶大会》、《百万英雄》等直播有奖答题火爆了各大社交平台,今天晚上九点...
日期:01-10
360网络安全响应中心发布CPU漏洞修复指南
0x00 概述
  2018年1月4日,Jann Horn等安全研究者披露了"Meltdown"(CVE-2017-5754)和"Spe...
日期:01-09
继光驱之后 下一个从笔记本上消失的就是它
触控板才是下一个将要从笔记本上消失的部件,为什么这么说?
日期:01-06
2018年有WiFi才更嗨,腾讯WiFi管家实现亿万WiFi免费连
元旦三天小长假已经结束,大家都开始了2018年第一天的工作。回想一下元旦期间,当你在机场或火车站...
日期:01-03
腾讯电脑管家提醒:潜伏17年高龄0day漏洞野外攻击 威胁Office全版本
日前,腾讯电脑管家通过官方微博发布安全预警:腾讯安全反病毒实验室安全团队率先在全球范围内捕获...
日期:2017
闷声发大财年度之星:2017挖矿木马的疯狂敛财暗流
0x1 前言
  如果说勒索病毒是暴露在大众视野中的“恶魔”,那么挖矿木马就是潜...
日期:2017
生活不该被打断 !腾讯电脑管家携手QQ为白领发声
随着“腾出空,去生活”系列品牌活动的落地,“如何平衡工作与生活”的话题引...
日期:2017
360加固保紧急上线针对Janus安卓漏洞的解决方案
美国时间12月9日Google在其官网通告了一个名为“Janus”的安卓漏洞,该漏洞可以让攻击者...
日期:2017
酷狗的3D旋转音效配这些歌简直爽到飞起!试一次就停不下来!
这两天广州上海的小伙伴应该都被地铁里的酷狗旋转音效刷屏刷到眩晕了吧?从这款音效上线开始就不断有人沦陷在那魔性的漩涡中
日期:2017
腾讯手机管家发起“现代病”测试,清理加速助力状态在线
“有强迫症是一种什么样的体验?”“我一定是懒癌晚期了。”当看到这些吐槽或提...
日期:2017
隐藏17年的Office高危漏洞浮出水面 360安全卫士率先防护
日前微软发布了11月份的安全补丁,修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。...
日期:2017
360手机卫士提醒:00后游戏成诈骗“切入点”家长需予以监督
  随着90后逐渐成熟并走向社会,游戏玩家的主要人群开始向00后倾斜。相信在不远的将来,00后玩家将成...
日期:2017
黑客贩卖航空信息150万元,360手机卫士提示谨防“机票退改签精准诈骗”
对于如今的智能手机用户来说,被诈骗短信骚扰几乎是一个不可避免的“人生经历”,而绝大...
日期:2017
双11国产手机四强出炉:新秀360手机在列
一年一度的双十一购物狂欢节已经落下帷幕。在3C产品里,京东战报表明,双十一当日销量中,国产手机...
日期:2017
依然黑马?360手机双十一销量坐稳前四
截止11月11日24时,一年一度的京东双11大促活动完美收官,从京东实时战报看,今年国产手机品牌11日...
日期:2017
燃爆双十一,360手机销量再创新高
一年一度的双十一狂欢节已接近尾声了,今年的网友们依旧很给力,无论是成交金额还是成交笔数、速度...
日期:2017
在微信上就能开股票账户 腾讯浏览服务助力券商深耕客户服务
互联网流量红利消失,线下服务无法精准化和个性化,获客转化效率低下,是所有证券公司当前共同面临...
日期:2017
国家互联网应急中心曝光73个恶意程序,腾讯手机管家已实现全查杀
近日,国家互联网应急中心通过自主监测和样本交换形式共发现73个窃取用户个人信息的恶意程序变种,...
日期:2017
新型勒索病毒BadRabbit突袭东欧 360安全卫士支招防御
据外媒报道,近日一款新型勒索病毒BadRabbit在东欧爆发,乌克兰、俄罗斯的企业及基础设施受灾严重。与此...
日期:2017