应用克隆漏洞原理分析

最新推荐文章于 2021-05-31 02:24:36 发布
最新推荐文章于 2021-05-31 02:24:36 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: android安全 文章标签: 应用克隆漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiaoMaGe/article/details/103009378
版权

应用克隆漏洞原理分析

0x01 前言

最近由于公司的需求,需要检测一下webview的跨域漏洞,也就是前几个月很火的支付宝应用克隆事件的漏洞,所以需要了解并复现相关的漏洞,
该漏洞是由腾讯的玄武实验室发现的,支付宝克隆事件的具体发生场景如下:
用户在接收一条短信后,点开其中的链接,自动打开支付宝的webview组件,并加载相关的链接,之后跳到的界面是攻击者进行设置的抽奖界面,但是这个时候,对方的手机已经克隆了用户的支付宝,并可以正常使用二维码和小额转账等功能。
其实整个漏洞的关键所在是支付宝口令红包的业务需求,打开了webview的跨域访问功能,这就给了黑客一个有利的攻击点。通过加载相关的链接,获取到包含用户登录状态的信息的文件,把内容都上传到攻击者自己的服务器中,在导入攻击者准备好的手机中,从而使得攻击者的拥有和被攻击者一样的软件,达到一个克隆的效果。

0x01 漏洞攻击流程

根据前面我们分析的场景,我们可以把该漏洞的整个原理整理成下面的流程图。
在这里插入图片描述
第一步:我们要通过短信或者其他操作,发送恶意链接到用户的手机中,该链接包含很多东西,包括下载xxx.html语句,还用调用支付宝webview组件和加载xxx.html文件的语句。
第二步:通过点击该恶意链接,然后恶意软件就调用浏览器下载xxx.html文件到指定的下载目录中,一般像chorme浏览器是被文件下载到sdcard/Download/目录下面。
第三步:之前的恶意链接中,其中有调用支付宝的webview组件,通过scheme协议,然后因为其中的跨域功能已经打开,所以使其加载file:///协议的文件,就是我们之前下载好的xxx.html文件。
第四步:在xxx.html文件中,我们已经写好获取到支付宝内部私有目录的文件内容的语句

最低0.47元/天 解锁文章
又是你小马哥
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Yii2框架Gii模块 RCE 分析 .pdf
09-05
漏洞原理在于`yiisoft/yii2-gii/src/Generator.php`文件的第505行代码,这里可能存在未充分验证输入的情况,允许攻击者注入恶意代码。在进行安全测试和应急响应时,必须对这类漏洞进行深入分析,确保修复措施有效...
全面支持“应用克隆”风险检测,海云安推出修复建议
imtik的博客
01-12 631
2018年1月9日,最新攻击威胁模型“应用克隆”一经披露就吸引了多方关注,引发了不少网民的恐慌情绪。新年伊始,网络安全问题又再次成为大众热议的话题。 漏洞描述 “应用克隆”危机是指Android WebView的跨域访问漏洞(CNVD-2017-36682),利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情
移动安全学习笔记——Webview安全漏洞总结
0nc3的博客
02-27 3266
0x00 Webview简介 Webview交互是指App使用webview加载展示功能页面,在使用过程中会存在一些风险,导致app被攻击者利用,加载恶意代码,窃取用户信息。 0x01 file协议跨域访问 1、漏洞原理 webview控件将setAllowFileAccessFromFileURLs或setAllowUniversalAcessFromFileURLsAPI设置为true,开启了file域访问,且允许file域访问HTTP域,但是并未对file域的路径做严格限制。 2、检测方法 webv
android克隆漏洞分析,腾讯安全披露“应用克隆漏洞 安卓主流APP中枪
weixin_36270894的博客
05-27 295
【环球网科技报道 记者 李文瑶】1月9日,由腾讯安全玄武实验室发现的“应用克隆”这一移动攻击威胁模型正式对外披露。据了解,基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。而这一漏洞利用方式一旦被不法分子利用,就可以轻松克隆获取用户账户权限,盗取用户账号及资金等个人隐私信息和资产。对此,腾讯安全玄武实验室负责人于旸指出,...
android克隆漏洞分析,Android支付宝克隆漏洞
weixin_29985807的博客
05-27 202
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?上一篇文章介绍了Android Webview组件的安全问题,其中一个就是file域访问限制不严格导致数据泄露,前段时间很火的支付宝克隆漏洞也是基于file协议的权限设置不当造成的,参考了很多文章总结一下攻击流程:Step 1 :通过 URL Scheme 的方式唤起打开 App 里暴露出去的(export=true)带...
CVE-2014-7911分析+代码
07-04
1. **漏洞原理**:理解漏洞是如何工作的,包括攻击者如何构造恶意输入,以及这个输入如何导致系统执行非预期的操作。 2. **影响范围**:确定哪些软件或系统受到了此漏洞的影响,以及它们的版本信息。 3. **漏洞...
全国大学生软件测试大赛web应用测试环境配置资料以及做题学习教程链接和录制视频.zip
12-02
6. **安全测试**:Web应用的安全性是测试的重要环节,包括SQL注入、XSS攻击、CSRF等常见漏洞的检测和防护。了解OWASP(开放网络应用安全项目)十大安全风险,有助于进行安全测试。 7. **性能测试**:评估Web应用在...
PM3开发资料,Proxmark3,原理图,官方固件卡片资料
最新发布
04-09
通过分析原理图,你可以了解每个组件的作用,如何协同工作以实现RFID信号的发送和接收。这对于想要自定义或改进Proxmark3功能的硬件爱好者来说尤其重要。 **官方固件**: 固件是设备的核心软件,控制着硬件的运行。...
KeepReceipt-AndroidStudio:KeepReceipt android应用程序源代码-Android application source code
03-25
【标题】"KeepReceipt-AndroidStudio:KeepReceipt android应用程序源代码-...通过阅读和研究源代码,开发者可以深入理解Android应用的工作原理,学习最佳实践,并且有可能从中获取灵感,为自己的项目带来新功能或改进。
Android“应用克隆漏洞分析
热门推荐
听风-Android进阶
01-12 1万+
一、这个漏洞的特征 二、这个漏洞的攻击流程 三、这个漏洞的攻击原理漏洞主要利用了Android系统WebView控件的同源策略漏洞来进行攻击,Android应用内部分可导出的Activity组件中,WebView允许通过file url对http域进行访问,并且并未对file域的路径进行严格校验所导致的。 该漏洞会打破Android应用的沙箱隔离机制,即A应用可以通过B
android应用克隆漏洞,app克隆漏洞攻击是什么 手机应用克隆漏洞解决方法[多图]...
weixin_42509105的博客
05-31 564
近期,在升级到最新安卓8.1.0的手机上,一条手机短信,你的支付宝账号就会被克隆盗取,那么app克隆漏洞攻击是什么、手机应用克隆漏洞怎么解决呢,手游汇手游网为大家介绍。*app克隆漏洞攻击是什么?在用户毫不知情的情况下,一个不起眼的角落,有攻击者利用漏洞远程“克隆”了一个和你账户一模一样的APP,并且可以直接盗取用户账号、个人隐私、资金10日,腾讯安全玄武实验室与知道创宇404实验室联合召开技术研...
支付宝克隆攻击原理分析
weixin_34272308的博客
04-08 624
分析漏洞之前,我们先来了解两个相关知识点,跨域和URL scheme。 一、URL Scheme URL Scheme是一种页面内跳转协议,就是通过定义自己的scheme协议,可以非常方便跳转app中的各个页面;通过scheme协议,服务器可以定制化告诉App跳转那个页面,可以通过通知栏消息定制化跳转页面,可以通过H5页面跳转页面等。1.URL Scheme应用场景 客户端应用可以向操...
主流安卓APP都中招了!“应用克隆漏洞”的快速检测修复方案
oggboy的专栏
01-19 1312
2018年1月9日, 国家信息安全漏洞共享平台发布了关于Android平台WebView控件存在跨域访问高危漏洞的安全公告。 漏洞描述: 攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。 影响范
关于腾讯玄武实验室公布的应用克隆漏洞的一些思考
niuzhucedenglu的博客
01-12 2998
2018-01-09 国家信息安全漏洞共享平台 公布了 《关于Android平台WebView控件存在跨域访问高危漏洞的安全公告》 另外,关于该漏洞原理 这里 有个补充说明: 从上文中我们可以看出是由于 WebView 的 file 跨域问题,使应用加载的 JavaScript 可以获取应用的 私有数据 (即 /data/data/packageName/ 下的文件)导致的这个漏洞
android克隆漏洞分析,Android如何解决腾讯近日发布的“应用克隆漏洞
weixin_33477335的博客
05-27 197
2018年1月9日, 国家信息安全漏洞共享平台(CNVD)发布关于Android WebView存在跨域访问漏洞(CNVD-2017-36682)的公告,本文最后会给出具体的解决方案。漏洞描述WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现Web页面、解析并执行JavaScript代码的控件,Android应用可以使用WebView空间,灵活的扩展自身的业务功能...
Android中WebView跨域漏洞分析应用克隆问题情景还原(免Root获取应用沙盒数据)
编码美丽
04-02 783
一、前言去年年底支付宝的被克隆漏洞被爆出,无独有偶就是腾讯干的,其实真正了解这个事件之后会发现感觉是针对支付宝。因为这个漏洞找出肯定花费了很大劲,主要是因为支付宝的特殊业务需要开启了WebView的跨域访问功能,导致了这个问题,其实Google官方的Android早期版本这个功能默认是开启的的确是个漏洞,但是最后的版本都默认关闭了,除非应用自己业务需要就开启。而支付宝的口令红包是利用了WebVie
如何使用MobSF静态分析检测App中是否存在利用WebView跨域访问进行应用克隆漏洞攻击
06-09
可以使用MobSF进行静态分析,检测App中是否存在利用WebView跨域访问进行应用克隆漏洞攻击的漏洞。 具体来说,可以通过以下步骤来进行检测: 1. 在MobSF中导入App的安装包。 2. 在MobSF的主界面中,选择“Static Analysis”标签页,然后选择“WebViews”选项卡。 3. 在“WebViews”选项卡中,可以看到App中使用的所有WebView,包括WebView的配置信息和相关代码。 4. 检查WebView的配置信息中是否允许访问应用内的URL,如果允许,则存在应用克隆漏洞攻击的风险。 5. 检查WebView相关代码中是否存在直接加载应用内的URL的操作,如果存在,则存在应用克隆漏洞攻击的风险。 通过以上步骤,可以较为全面地检测App中是否存在利用WebView跨域访问进行应用克隆漏洞攻击的漏洞。需要注意的是,静态分析可能会存在漏报和误报的情况,因此需要结合其他安全测试方法进行综合评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值