直播答题成2018最新赚钱机会 360手机助手答题神器让你躺着赢百万 | 环都拓普(HOLTOP)新风系统 健康节能新风专家 | 无形·有秩,顶级桌面解决方案ThinkPad X1 Family 2018发布 | 第二届中国马拉松博览会·“体育+旅游”主题峰会在厦圆满召开 | 囤积脂肪御寒,搜狗地图带你吃遍美食 | 荔枝台跨年创佳绩!明月镜片冠名该直播获超千万曝光 | 人人贷再度入选布谷新金融“影响力品牌30强” | 法国总统马克龙对华访问期间,索迪斯与华为签署全球合作协议 | 猩便利跨年再开新门店,“便利·蜂窝”体系进一步完善 | 茅台经销商自发稳价,承诺飞天茅台售价不超过1499元/瓶 |
 
当前位置: 新闻>热点关注>

360显危镜免费提供“应用克隆”漏洞自动化检测服务

发布时间:2018-01-10 13:54:42  |  来源:中国网科学  |  作者:   |  责任编辑:科学频道

近期国内多款知名手机APP被曝光存在“应用克隆”漏洞。攻击者利用该漏洞,可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等,国内约10%的主流APP受到漏洞影响。

作为中国领先的网络安全厂商,360旗下APP从产品开发阶段就已对“应用克隆”攻击威胁进行全面预防,完全不受此次漏洞影响。

针对移动应用厂商和开发者,360旗下自动化漏洞检测平台360显危镜即日起将提供免费技术援助,为大家提供Android应用克隆攻击漏洞检测服务,协助开发者修复“应用克隆”漏洞。

根据360信息安全中心的评估,“应用克隆”漏洞攻击模型中主要涉及到两个过程,一是数据读取,二是数据复制。在数据读取过程中主要涉及到WebView的跨源攻击,因为Android沙盒的存在,两个应用之间一般情况下是不可以进行文件的相互访问,但不正确的使用WebView可能会打破这种隔离。WebView未禁用file域访问,允许file域访问http域,且未对file域的路径进行严格限制的情况下,攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据,并外传到攻击者的服务器。

漏洞的攻击链条中,需要利用多个漏洞才能实现,因此可有多种方式截断该攻击的实现方式。针对上述几个问题,只要从任何一点截断,即可极大程度上杜绝该漏洞攻击的实现。

修复建议:

1.在使用Webview时,对于不需要使用file协议的应用,禁用file协议

2.对于需要使用file协议的应用,禁止file协议调用javascript

3.设置file域白名单,检查file域路径避免被绕过

Android应用克隆攻击漏洞检测服务网址:

http://appscan.360.cn/tool/

参考文献

http://www.cnvd.org.cn/webinfo/show/4365

http://blogs.360.cn/360mobile/2014/09/22/webview%E8%B7%A8%E6%BA%90%E6%94%BB%E5%87%BB%E5%88%86%E6%9E%90/

http://appscan.360.cn/