腾讯云联手腾讯安全玄武实验室,提供「应用克隆」漏洞免费检测服务
欢迎大家前往云+社区,获取更多腾讯海量技术实践干货哦!
国内主流安卓 APP 被爆存在「应用克隆」风险。2018年1月9日,在正式对外披露攻击威胁模型「应用克隆」的新闻发布会上,腾讯安全玄武实验室负责人于旸(TK教主)现场展示了一段视频,用一场真实测试为大众揭秘“应用克隆”移动攻击威胁,一些平常不被重视的小漏洞,最终演变成窃取隐私信息和盗取账号资金的大危机。
在发现这些漏洞后,腾讯安全玄武实验室通过 CNCERT 向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。目前,对于用户数量大、涉及重要数据的 APP,腾讯安全玄武实验室愿意提供相关技术援助,与此同时,腾讯云移动安全团队联手玄武实验室,对想要检测是否存在「应用克隆」漏洞的客户提供1V1的免费检测服务。
「应用克隆」漏洞产生的原因
以及将被如何利用?
发布会上,于旸指出:“多点耦合产生了可怕漏洞,所谓多点耦合,是 A 点看上去没问题,B 点看上去也没问题,但是 A 和 B 组合起来,就组成了一个大问题。”
「应用克隆」漏洞产生的原因是在 安卓 APP 中,WebView 开启了 file 域访问,且允许 file 域对 http 域进行访问,同时未对 file 域的路径进行严格限制所致。「应用克隆」漏洞只会影响使用 WebView 控件,开启了 file 域访问并且未按安全策略开发的安卓 APP。由此可见,「应用克隆」 攻击的成功实施需要多个漏洞的相互配合。
据介绍,「应用克隆」漏洞至少涉及国内10%的主流 安卓 APP,几乎影响国内所有安卓 用户。黑客可利用 Android 平台 WebView 控件的跨域访问漏洞(CNVD-2017-36682),远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对 APP 用户账户的完全控制。
解决方案
值得庆是,腾讯安全玄武实验室在不法黑客前发现了「应用克隆」攻击模型,占据了攻防主动。目前,受影响的 APP 厂商都已完成或正在积极的修复当中,具体修复可以参考国家信息安全漏洞共享平台联合腾讯提供的临时解决方案,如下所示:
1、file 域访问为非功能需求时,手动配置 setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLs 两个 API 为 false。(Android4.1版本之前这两个 API 默认是 true,需要显式设置为 false)
2、若需要开启 file 域访问,则设置 file 路径的白名单,严格控制 file 域的访问范围,具体如下:
- 1>固定不变的 HTML 文件可以放在 assets 或 res 目录下,file:///android_asset 和
file:///android_res 在不开启 API 的情况下也可以访问; - 2> 可能会更新的 HTML 文件放在/data/data/(app) 目录下,避免被第三方替换或修改;
- 3> 对 file 域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。
3、避免 APP 内部的 WebView 被不信任的第三方调用。排查内置 WebView 的Activity 是否被导出、必须导出的 Activity 是否会通过参数传递调起内置的 WebView 等。
4、建议进一步对 APP 目录下的敏感数据进行保护。客户端 APP 应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。
如需腾讯云移动安全团队为您提供的1V1免费检测服务,请在腾讯云安全微信公众号留言,提供以下信息给我们:
- 客户名称
- 应用名称
- 应用下载链接
相关阅读
比特币勒索病毒肆虐,腾讯云安全专家给你支招
海内外 DDoS 数据大盘点,腾讯云安全出品
Petya 来袭,腾讯云快速响应提供安全解决方案
此文已由作者授权云+社区发布,转载请注明原文出处
腾讯云联手腾讯安全玄武实验室,提供「应用克隆」漏洞免费检测服务相关推荐
- 腾讯云联手宇信科技发布多个联合方案,全面助力金融科技自主可控
近日,腾讯云联手宇信科技,共同完成了信贷平台.数据中台.手机银行等核心金融业务的联合解决方案,以及双向适配认证.深度测试和优化工作,并已在某头部农商行.某头部城商行投产运行.未来,双方将在信贷系统和国 ...
- #腾讯云·未来开发者云梯计划#第三期上线啦!全国5000个免费云认证培训考试名额开放报名中!
11 年前,著名硅谷投资人马克·安德森曾表示"软件正在吞噬世界",然而他只预言了故事的开头.10 多年过去,作为有效推动企业数字化转型步伐的核心技术,云原生已成为正在吞噬世界的&q ...
- 如何购买腾讯云服务器?腾讯云服务器购买教程
如何购买腾讯云服务器?腾讯云服务器购买教程 如何购买腾讯云服务器?腾讯云服务器如何购买?腾讯云服务器购买有三种方式,一种是直接在活动上买,一种是通过快速配置,最后一种是自定义购买,快速配置没什么意思, ...
- 在线登录注册功能(android客户端+javaweb服务端+腾讯云服务器+腾讯云数据库)
在线登录注册功能(android客户端+javaweb服务端+腾讯云服务器+腾讯云数据库) 完整的项目已上传github仓库,链接在文章最下面 注:笔者在安卓客户端部分写了kotlin语言和java语 ...
- 腾讯云代理商:腾讯云数据库成功落地国信证券 承载日均亿级交易额
腾讯云代理商:腾讯云数据库成功落地国信证券 承载日均亿级交易额 聚搜云是上海聚搜信息技术有限公司旗下品牌,坐落于魔都上海,服务于全球.2019年成为阿里云生态合作伙伴.与阿里云.腾讯云.西部数码.美橙 ...
- 腾讯云优惠券-腾讯云优惠券领取
[腾讯云]云产品采购季,助力行业复工.1核2G云服务器,首年99元 8888元代金券免费领取 云产品采购季,助力行业复工!-腾讯云 [腾讯云]新客户无门槛领取总价值高达2860元代金券,每种代金券限量 ...
- CSDN联合腾讯云发布“腾讯云数据库TDSQL工程师路线图”
腾讯云数据库TDSQL是腾讯自研的企业级分布式数据库,在金融.政务.运营商.电商.游戏等数十个行业中落地应用,具备金融级高可用.强一致.高性能.高可靠等特性.目前,腾讯云数据库TDSQL 已助力 20 ...
- 大模型时代,腾讯云“复制”腾讯|WAIC2023
点击关注 文|郝鑫 编|刘雨琦 刚过去的WAIC(世界人工智能大会)俨然成为了大模型厂商的成果汇报大会. 百度文心大模型升级到3.5版本,训练速度提升2倍,推理速度提升30倍:华为云发布盘古大模型3. ...
- 【小程序开发者专享】腾讯云联手多家科技企业,聚焦小程序·云开发实践!...
导语:9月21日,北京北邮科技酒店,云+社区邀您参加<"小程序·云开发" 北京站>沙龙活动,聚焦小程序·云开发的技术应用实践.直面云开发技术应用实践专家,共探前沿,实现 ...
- c 使用腾讯云mysql_腾讯云使用笔记一: 环境搭建
腾讯云服务器 https://console.cloud.tencent... 76xxxxxxx1@qq.com/yingyoudie 后来通过代理买85折,很划算,用户名43xxxx/Wxxxxx ...
最新文章
- 【TCP/IP协议 卷一:协议】第三章 IP:网际协议
- golang 实现 while 和 do……while 循环
- c语言第七章函数调用题库,c语言题库7-函数.doc
- 《操作系统》OS学习(二):启动、中断、异常
- mysql 实现非递归树_二叉树的非递归前序,中序,后序遍历算法
- Linux开机启动过程(7):内核执行入口点
- 项目演化系列--分布式锁
- 玩转VIM编辑器-自动补全
- python通过什么对象连接数据库_介绍Python 数据库的Connection、Cursor两大对象
- IDC 机房空调问题解决方案
- Java实习日记(5)
- 开发代码质量衡量标准
- 大衣哥在《火火的情怀》后,和孟文豪张成军推出《新时代的农民》
- 银河麒麟服务器操作系统(国防版),银河麒麟服务器操作系统V4
- Kvaser Android驱动程序已经在许多应用程序中得到了成功的应用
- TensorFlow实践(15)——使用tf.device方法指定节点执行设备
- 卡那霉素(Kanamycin偶联卵清白蛋白 (KAN-OVA)
- 【生动理解】深度学习中常用的各项评价指标含义TP、FP、TN、FN、Accuracy、Recall、IoU、mIoU
- 度度熊与邪恶大魔王 百度之星
- 雷锋网特约专访3GUU市场总监刘谢舒