Android“应用克隆”漏洞分析

最新推荐文章于 2023-02-07 17:55:28 发布
最新推荐文章于 2023-02-07 17:55:28 发布
阅读量603 收藏
点赞数
分类专栏: # Android Security 系统安全与漏洞分析 漏洞挖掘与CVE分析 文章标签: android security webview 应用克隆

一、这个漏洞的特征

这里写图片描述

二、这个漏洞的攻击流程

这里写图片描述

三、这个漏洞的攻击原理

  • 该漏洞主要利用了Android系统WebView控件的同源策略漏洞来进行攻击,Android应用内部分可导出的Activity组件中,WebView允许通过file url对http域进行访问,并且并未对file域的路径进行严格校验所导致的。

  • 该漏洞会打破Android应用的沙箱隔离机制,即A应用可以通过B应用导出的Activity让B应用加载一个恶意file协议的url,从而获取B应用的内部私有文件。

当APP出现以下两种情况时,即受该漏洞的影响: 
1.WebView中setAllowFileAccessFromFileURLs 或****setAllowUniversalAccessFromFileURLsAPI配置为true; 
2.WebView可以直接被外部调用,并能够加载外部可控的HTML文件。

四、这个漏洞的初步修复建议

  1. file域访问为非功能需求时,手动在Activity中配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)

  2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下: 
    (1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问; 
    (2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改; 
    (3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

  3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。

  4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。

五、简单复现及处理

  1. 将一下内容保存为html文件

    <!DOCTYPE>
<html>
<head>
    <meta charset="utf-8" />
    <title>webview</title>
    <style></style>
    <script type="text/javascript">
        <!--alert("1");-->
        function loadData(){
            var arm="file:///mnt/sdcard/abc.txt";
            var xmlhttp;
            if (window.XMLHttpRequest) {
                xmlhttp = new XMLHttpRequest();
            }
            xmlhttp.onreadystatechange = function(){

                if (xmlhttp.readyState == 4) {
                    alert("3");
                    alert(xmlhttp.responseText);
                }
            }
            xmlhttp.open("GET",arm);
            xmlhttp.send(null);
        }
        <!--alert("2");-->
    </script>
</head>

<body>
    <input type="button" name="btn" value="触发漏洞" onclick="loadData()" />
</body>

  2. 将该文件放到assets目录下,在手机sd卡目录下,新建一个abc.txt,键入部分文字。

  3. 使用webview加载该文件,点击触发漏洞按钮,如果弹出内容为空,则说明加载不到(在该手机上无此漏洞);如果弹出了文件中的内容,则说明在该手机上需要进行处理

  4. 如果存在该漏洞,并且app不需要进行文件域操作,那么,设置为false即可。

    WebSettings wSet = wView.getSettings();
    wSet.setAllowFileAccessFromFileURLs(false);
    wSet.setAllowUniversalAccessFromFileURLs(false);

  5. 如果因为需求需要,那么我们可以在该方法中拦截url,对非法或者不符合预期的url进行拦截,不让其加载。

    @Override
    public void onLoadResource(WebView view, String url) {
        super.onLoadResource(view, url);
    }
y原文地址: http://blog.csdn.net/xwh_1230/article/details/79045251

Omni-Space
关注
专栏目录
应用克隆漏洞原理分析
JiaoMaGe的博客
11-11 1200
应用克隆漏洞原理分析 0x01 前言 最近由于公司的需求,需要检测一下webview的跨域漏洞,也就是前几个月很火的支付宝应用克隆事件的漏洞,所以需要了解并复现相关的漏洞, 该漏洞是由腾讯的玄武实验室发现的,支付宝克隆事件的具体发生场景如下: 用户在接收一条短信后,点开其中的链接,自动打开支付宝的webview组件,并加载相关的链接,之后跳到的界面是攻击者进行设置的抽奖界面,但是这个时候,对方的手...
AndroidWebView跨域漏洞分析应用克隆问题情景还原(免Root获取应用沙盒数据)...
编码美丽
04-02 394
一、前言去年年底支付宝的被克隆漏洞被爆出,无独有偶就是腾讯干的,其实真正了解这个事件之后会发现感觉是针对支付宝。因为这个漏洞找出肯定花费了很大劲,主要是因为支付宝的特殊业...
android应用克隆漏洞,app克隆漏洞攻击是什么 手机应用克隆漏洞解决方法[多图]...
weixin_42509105的博客
05-31 597
近期,在升级到最新安卓8.1.0的手机上,一条手机短信,你的支付宝账号就会被克隆盗取,那么app克隆漏洞攻击是什么、手机应用克隆漏洞怎么解决呢,手游汇手游网为大家介绍。*app克隆漏洞攻击是什么?在用户毫不知情的情况下,一个不起眼的角落,有攻击者利用漏洞远程“克隆”了一个和你账户一模一样的APP,并且可以直接盗取用户账号、个人隐私、资金10日,腾讯安全玄武实验室与知道创宇404实验室联合召开技术研...
android克隆漏洞分析,Android支付宝克隆漏洞
weixin_29985807的博客
05-27 238
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?上一篇文章介绍了Android Webview组件的安全问题,其中一个就是file域访问限制不严格导致数据泄露,前段时间很火的支付宝克隆漏洞也是基于file协议的权限设置不当造成的,参考了很多文章总结一下攻击流程:Step 1 :通过 URL Scheme 的方式唤起打开 App 里暴露出去的(export=true)带...
腾讯公布“应用克隆攻击模型 防御安卓系统手机漏洞
中国财经
01-10 1827
9日,“应用克隆”这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室与知道创宇404实验室联合公布并展示了这一重大研究成果。   腾讯安全玄武实验室负责人于旸介绍说,在玄武安全研究团队研究过程中,发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆攻击。 /*文章页正文
NFCGate Android 应用:捕获、分析及NFC流量克隆
- 移动安全测试:评估NFC应用的安全性,查找潜在的漏洞。 - 通信协议逆向工程:研究和理解NFC通信协议的细节。 - 智能卡和标签克隆测试:测试智能卡和NFC标签的安全性。 - 自动化测试和模拟:通过重放功能,自动...
AndroidWebView跨域漏洞分析应用克隆问题情景还原(免Root获取应用沙盒数据)
编码美丽
04-02 827
一、前言去年年底支付宝的被克隆漏洞被爆出,无独有偶就是腾讯干的,其实真正了解这个事件之后会发现感觉是针对支付宝。因为这个漏洞找出肯定花费了很大劲,主要是因为支付宝的特殊业务需要开启了WebView的跨域访问功能,导致了这个问题,其实Google官方的Android早期版本这个功能默认是开启的的确是个漏洞,但是最后的版本都默认关闭了,除非应用自己业务需要就开启。而支付宝的口令红包是利用了WebVie
Android漏洞解析之旅---WebView的跨域漏洞分析应用克隆问题情景还原(免Root获取应用沙盒数据)
尼古拉斯.赵四的博客
02-29 1063
一、前言 去年年底支付宝的被克隆漏洞被爆出,无独有偶就是腾讯干的,其实真正了解这个事件之后会发现,感觉是针对支付宝。因为这个漏洞找出肯定花费了很大劲,主要是因为支付宝的特殊业务需要开启了WebView的跨域访问功能,导致了这个问题,其实Google官方的Android早期版本这个功能默认是开启的的确是个漏洞,但是最后的版本都默认关闭了,除非应用自己业务需要就开启。而支付宝的口令红包是利用了Web...
android克隆漏洞分析,Android如何解决腾讯近日发布的“应用克隆漏洞
weixin_33477335的博客
05-27 227
2018年1月9日, 国家信息安全漏洞共享平台(CNVD)发布关于Android WebView存在跨域访问漏洞(CNVD-2017-36682)的公告,本文最后会给出具体的解决方案。漏洞描述WebViewAndroid用于显示网页的控件,是一个基于Webkit引擎、展现Web页面、解析并执行JavaScript代码的控件,Android应用可以使用WebView空间,灵活的扩展自身的业务功能...
Android 应用的哪些安全漏洞常被黑客利用?
u013176138的博客
01-03 724
首先,说到 Android 应用常被黑客利用的安全漏洞,如果抛开系统设计问题,其主要原因是开发过程当中疏漏引起的。但其实也并不能把这些责任都怪在程序猿头上。所以在这里对 Android 系统设计以及生态环境做一些阐述。 1. 应用反编译漏洞:APK 包非常容易被反编译成可读文件,稍加修改就能重新打包成新的 APK。利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商 ID。建议:使用
android 应用克隆 详细信息,IT之家学院:如何将一台安卓手机中的应用克隆”到另一台...
weixin_39629947的博客
05-29 2461
感谢IT之家网友 四级司机 的投稿因为换了个红米4A当备用机,原机是荣耀7。联系人短信之类的数据容易备份,而应用软件的数据不易备份。华为有个华为备份,但是不兼容小米啊。了解Android的应该都知道adb命令吧,使用过黑域的至少知道。既然第三方备份软件不支持,那底层上的备份都是一样的。首先:下载ADB,下载地址:点击这里第二步:查看adb版本,第三步:备份应用的数据,adb backup -f d...
关于腾讯玄武实验室公布的应用克隆漏洞的一些思考
niuzhucedenglu的博客
01-12 3024
2018-01-09 国家信息安全漏洞共享平台 公布了 《关于Android平台WebView控件存在跨域访问高危漏洞的安全公告》 另外,关于该漏洞的原理 这里 有个补充说明: 从上文中我们可以看出是由于 WebView 的 file 跨域问题,使应用加载的 JavaScript 可以获取应用的 私有数据 (即 /data/data/packageName/ 下的文件)导致的这个漏洞
主流安卓APP遭遇“应用克隆”危机,快速检测修复方案出炉
静静人生
01-10 1613
2018年1月9日, 国家信息安全漏洞共享平台(CNVD)发布关于Android WebView存在跨域访问漏洞(CNVD-2017-36682)的公告。 漏洞描述 WebViewAndroid用于显示网页的控件,是一个基于Webkit引擎、展现Web页面、解析并执行Java代码的控件,Android应用可以使用WebView空间,灵活的扩展自身的业务功能。 市面上大多数使
关于主流安卓APP遭遇“应用克隆”危机的处理方法
blf09的专栏
01-11 1791
1 严格限制包含WebView调用的Activity组件的导出权限,设置所注册组件的“android:exported”属性为false;关闭导出权限或者限制导出组件的发起者。 2 对于功能要求必须导出的Activity组件,手动设置webview setAllowFileAccessFromFileURLs(false)或 setAllowUniversalAccessFromFile
WebView使用漏洞
最新发布
qq_39431405的博客
02-07 1038
webview使用漏洞
android sdk修改跨域,android webview 跨域问题
weixin_42297904的博客
05-27 1133
使用Android webView访问html页面,碰到ajax跨域访问时,仅仅在header中加入http {......add_header Access-Control-Allow-Origin *;add_header Access-Control-Allow-Headers X-Requested-With;add_header Access-Control-Allow-Methods ...
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 AndroidWebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值