主流安卓APP遭遇「應用克隆」危機，快速檢測修復方案出爐

2018年1月9日， 國家信息安全漏洞共享平台(CNVD)發布關於Android WebView存在跨域訪問漏洞(CNVD-2017-36682)的公告。

漏洞描述

WebView是Android用於顯示網頁的控制項，是一個基於Webkit引擎、展現Web頁面、解析並執行JavaScript代碼的控制項，Android應用可以使用WebView空間，靈活的擴展自身的業務功能。

市面上大多數使用HTML5技術開發的應用均使用WebView進行HTML5頁面的展示。除了從遠程伺服器載入Web頁面，WebView還可以通過修改特定配置，從文件中進行HTML5頁面的載入。在未正確配置WebView的情況下，會致使WebView同源策略失效，導致HTTP協議、file協議跨源攻擊的發生。該漏洞使得WebView能夠訪問當前應用內部數據，如果WebView載入了來源不明的HTML文件，可能導致當前應用內部數據被攻擊者竊取，如身份認證信息、加密密鑰、用戶隱私信息等。

漏洞分析

Android應用內部分可導出的Activity組件中，WebView允許通過file URL對http域進行訪問，並且未對訪問路徑進行嚴格校驗，由此導致了本次漏洞的出現。

該漏洞的產生條件：

（1）應用中存在設置為可被導出的Activity組件，並且組件中包含Webview調用。

（2）Webview調用中setAllowFileAccessFromFileURLs 或

setAllowUniversalAccessFromFileURLs 設置為true（minSdk4.1 默認為false）。

風險等級

高危

影響評估

漏洞影響使用WebView控制項，開啟file域訪問且未按安全策略開發的安卓應用(App)。

解決方案

第一步：先檢測

（1）梆梆安全自動化檢測

（2）人工代碼檢測

第二步：再修復

具備開發能力的企業，請按照如下檢查步驟進行修復：

（1）嚴格限制包含WebView調用的Activity組件的導出許可權，關閉導出許可權或者限制導出組件的發起者。

（2）對於功能要求必須導出的Activity組件，手動設置

setAllowFileAccessFromFileURLs（false）或

setAllowUniversalAccessFromFileURLs（false）

（3）對於必須使用file URL對http域進行訪問時，可對傳入的URL路徑範圍嚴格控制，例如建立URL白名單，設置允許訪問的URL列表（不要遺漏路徑中可能出現的特殊情況如「../../」等，避免限制被繞過）

（4）使用梆梆安全加固技術對完成安全漏洞修復的App進行加固保護，防止被二次篡改安全許可權。

梆梆安全建議：

（1）針對具備較強研發能力和研發團隊的企事業單位，採取人工檢查為主、自動檢查為輔的方式。

（2）針對使用第三方軟體開發外包服務的企事業單位，建議聯繫梆梆安全進行自動檢查。

（3）針對使用大量開源組件的應用，建議採用人工檢查方式，避免其他未知原因導致修復失敗，進而引發應用崩潰等業務連續性被破壞問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！