• <cite id="us9d6"></cite>
  • <tt id="us9d6"><noscript id="us9d6"></noscript></tt>
  • <cite id="us9d6"></cite>

      <cite id="us9d6"><span id="us9d6"></span></cite>
    1. <cite id="us9d6"></cite>

    2. <tt id="us9d6"><span id="us9d6"></span></tt><rp id="us9d6"></rp><s id="us9d6"><div id="us9d6"></div></s>
    3. 當前位置: 首頁 >> 信息安全 >> 正文

      關于Android平臺WebView控件存在跨域訪問高危漏洞的安全公告

      2018年01月10日 00:00  點擊:[]

      2017年12月7日,國家信息安全漏洞共享平臺(CNVD)接收到騰訊玄武實驗室報送的Android WebView存在跨域訪問漏洞(CNVD-2017-36682)。攻擊者利用該漏洞,可遠程獲取用戶隱私數據(包括手機應用數據、照片、文檔等敏感信息),還可竊取用戶登錄憑證,在受害者毫無察覺的情況下實現對APP用戶賬戶的完全控制。由于該組件廣泛應用于Android平臺,導致大量APP受影響,構成較為嚴重的攻擊威脅。

      一、漏洞情況分析

      WebView是Android用于顯示網頁的控件,是一個基于Webkit引擎、展現web頁面的控件。WebView控件功能除了具有一般View的屬性和設置外,還可對URL請求、頁面加載、渲染、頁面交互進行處理。

      該漏洞產生的原因是在Android應用中,WebView開啟了file域訪問,且允許file域對http域進行訪問,同時未對file域的路徑進行嚴格限制所致。攻擊者通過URL Scheme的方式,可遠程打開并加載惡意HTML文件,遠程獲取APP中包括用戶登錄憑證在內的所有本地敏感數據。

      漏洞觸發成功前提條件如下:

      1. WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLs API配置為true;

      2. WebView可以直接被外部調用,并能夠加載外部可控的HTML文件。

      CNVD對相關漏洞綜合評級為“高?!?。

      二、漏洞影響范圍

      漏洞影響使用WebView控件,開啟file域訪問并且未按安全策略開發的Android應用APP。

      三、漏洞修復建議

      廠商暫未發布解決方案,臨時解決方案如下:

      1. file域訪問為非功能需求時,手動配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs兩個API為false。(Android 4.1版本之前這兩個API默認是true,需要顯式設置為false)

      2. 若需要開啟file域訪問,則設置file路徑的白名單,嚴格控制file域的訪問范圍,具體如下:

      (1)固定不變的HTML文件可以放在assets或res目錄下,file:///android_assetfile:///android_res在不開啟API的情況下也可以訪問;

      (2)可能會更新的HTML文件放在/data/data/(app) 目錄下,避免被第三方替換或修改;

      (3)對file域請求做白名單限制時,需要對“../../”特殊情況進行處理,避免白名單被繞過。

      3. 避免App內部的WebView被不信任的第三方調用。排查內置WebView的Activity是否被導出、必須導出的Activity是否會通過參數傳遞調起內置的WebView等。

      4. 建議進一步對APP目錄下的敏感數據進行保護??蛻舳薃PP應用設備相關信息(如IMEI、IMSI、Android_id等)作為密鑰對敏感數據進行加密。使攻擊者難以利用相關漏洞獲得敏感信息。

      上一條:關于OAuth 2.0存在第三方帳號快捷登錄授權劫持漏洞的安全公告 下一條:關于WebLogic Server WLS 組件存在遠程命令執行漏洞的安全公告

      成长AV影片免费观看网站,大香伊蕉99大香伊蕉免费视频,大香伊蕉在人线国产AV_日韩