騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)“應(yīng)用克隆”攻擊模型 過半移動應(yīng)用或需重新設(shè)計(jì)

鋪天蓋地的消息是這樣描述的：

你有沒有想過，你的支付寶竟然能被克隆到別人的手機(jī)上，而他可以像你一樣使用該賬號，包括掃碼支付。

這不是小編聳人聽聞，你安裝的手機(jī)應(yīng)用里，真的可能存在這種漏洞。

1月9日，騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇404實(shí)驗(yàn)室披露攻擊威脅模型——“應(yīng)用克隆”。在這個攻擊模型的視角下，很多以前認(rèn)為威脅不大、廠商不重視的安全問題，都可以輕松“克隆”用戶賬戶，竊取隱私信息，盜取賬號及資金等。

先通過一個演示來了解它，以支付寶為例：

在升級到最新安卓8.1.0的手機(jī)上↓

“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信↓

展開全文

用戶一旦點(diǎn)擊，其賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中↓

然后“攻擊者”就可以任意查看用戶信息，并可直接操作該應(yīng)用↓

為了驗(yàn)證這個克隆APP是不是真的能花錢，記者借到了一部手機(jī)，經(jīng)過手機(jī)機(jī)主的同意，記者進(jìn)行了測試。

記者發(fā)現(xiàn)，中了克隆攻擊之后，用戶這個手機(jī)應(yīng)用中的數(shù)據(jù)被神奇地復(fù)制到了攻擊者的手機(jī)上，兩臺手機(jī)看上去一模一樣。那么，這臺克隆手機(jī)能不能正常的消費(fèi)呢？記者到商場買了點(diǎn)東西。

記者在被克隆的手機(jī)上看到，這筆消費(fèi)已經(jīng)悄悄出現(xiàn)在支付寶賬單中。

因?yàn)樾☆~的掃碼支付不需要密碼，一旦中了克隆攻擊，攻擊者就完全可以用自己的手機(jī)，花別人的錢。

詳細(xì)戳視頻↓↓↓

漏洞幾乎影響國內(nèi)所有安卓用戶

騰訊經(jīng)過測試發(fā)現(xiàn)，“應(yīng)用克隆”對大多數(shù)移動應(yīng)用都有效，在200個移動應(yīng)用中發(fā)現(xiàn)27個存在漏洞，比例超過10%。

騰訊安全玄武實(shí)驗(yàn)室此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP，如支付寶、餓了么等多個主流APP均存在漏洞，所以該漏洞幾乎影響國內(nèi)所有安卓用戶。

目前，“應(yīng)用克隆”這一漏洞只對安卓系統(tǒng)有效，蘋果手機(jī)則不受影響。另外，騰訊表示目前尚未有已知案例利用這種途徑發(fā)起攻擊。

“應(yīng)用克隆”有多可怕？

騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示，該攻擊模型基于移動應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的，所以幾乎所有移動應(yīng)用都適用該攻擊模型。

“應(yīng)用克隆”的可怕之處在于：和以往的木馬攻擊不同，它實(shí)際上并不依靠傳統(tǒng)的木馬病毒，也不需要用戶下載“冒名頂替”常見應(yīng)用的“李鬼”應(yīng)用。

網(wǎng)絡(luò)安全工程師告訴記者，和過去的攻擊手段相比，克隆攻擊的隱蔽性更強(qiáng)，更不容易被發(fā)現(xiàn)。因?yàn)椴粫啻稳肭帜愕氖謾C(jī)，而是直接把你的手機(jī)應(yīng)用里的內(nèi)容搬出去，在其他地方操作。 和過去的攻擊手段相比，克隆攻擊的隱蔽性更強(qiáng)，更不容易被發(fā)現(xiàn)。

騰訊相關(guān)負(fù)責(zé)人比喻：“這就像過去想進(jìn)入你的酒店房間，需要把鎖弄壞，但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡，不但能隨時進(jìn)出，還能以你的名義在酒店消費(fèi)?！?/p>

↑玄武實(shí)驗(yàn)室9日檢測結(jié)果

來看點(diǎn)專業(yè)的：關(guān)于Android平臺WebView控件存在跨域高危漏洞的安全公告

2017年12月7日，國家信息安全漏洞共享平臺（CNVD）接收到騰訊玄武實(shí)驗(yàn)室報(bào)送的Android WebView存在跨域訪問漏洞(CNVD-2017-36682)。攻擊者利用該漏洞，可遠(yuǎn)程獲取用戶隱私數(shù)據(jù)（包括手機(jī)應(yīng)用數(shù)據(jù)、照片、文檔等敏感信息），還可竊取用戶登錄憑證，在受害者毫無察覺的情況下實(shí)現(xiàn)對APP用戶賬戶的完全控制。由于該組件廣泛應(yīng)用于Android平臺，導(dǎo)致大量APP受影響，構(gòu)成較為嚴(yán)重的攻擊威脅。

一、漏洞情況分析

WebView是Android用于顯示網(wǎng)頁的控件，是一個基于Webkit引擎、展現(xiàn)web頁面的控件。WebView控件功能除了具有一般View的屬性和設(shè)置外，還可對URL請求、頁面加載、渲染、頁面交互進(jìn)行處理。

該漏洞產(chǎn)生的原因是在Android應(yīng)用中，WebView開啟了file域訪問，允許file域訪問http域，且未對file域的路徑進(jìn)行嚴(yán)格限制所致。攻擊者通過URL Scheme的方式，可遠(yuǎn)程打開并加載惡意HTML文件，遠(yuǎn)程獲取APP中包括用戶登錄憑證在內(nèi)的所有本地敏感數(shù)據(jù)。

漏洞觸發(fā)成功前提條件如下：

1.WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLsAPI配置為true；

2.WebView可以直接被外部調(diào)用，并能夠加載外部可控的HTML文件。

CNVD對相關(guān)漏洞綜合評級為“高?！?。

二、漏洞影響范圍

漏洞影響使用WebView控件，開啟file域訪問并且未按安全策略開發(fā)的Android應(yīng)用APP。

三、漏洞修復(fù)建議 廠商暫未發(fā)布解決方案，臨時解決方案如下：

1. file域訪問為非功能需求時，手動配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs兩個API為false。（Android4.1版本之前這兩個API默認(rèn)是true，需要顯式設(shè)置為false）

2. 若需要開啟file域訪問，則設(shè)置file路徑的白名單，嚴(yán)格控制file域的訪問范圍，具體如下：

（1）固定不變的HTML文件可以放在assets或res目錄下，file:///android_asset和file:///android_res 在不開啟API的情況下也可以訪問；

（2）可能會更新的HTML文件放在/data/data/(app) 目錄下，避免被第三方替換或修改；

（3）對file域請求做白名單限制時，需要對“../../”特殊情況進(jìn)行處理，避免白名單被繞過。

（1）固定不變的HTML文件可以放在assets或res目錄下，file:///android_asset和file:///android_res 在不開啟API的情況下也可以訪問；

（2）可能會更新的HTML文件放在/data/data/(app) 目錄下，避免被第三方替換或修改；

（3）對file域請求做白名單限制時，需要對“../../”特殊情況進(jìn)行處理，避免白名單被繞過。

3. 避免App內(nèi)部的WebView被不信任的第三方調(diào)用。排查內(nèi)置WebView的Activity是否被導(dǎo)出、必須導(dǎo)出的Activity是否會通過參數(shù)傳遞調(diào)起內(nèi)置的WebView等。

4. 建議進(jìn)一步對APP目錄下的敏感數(shù)據(jù)進(jìn)行保護(hù)?？蛻舳薃PP應(yīng)用設(shè)備相關(guān)信息（如IMEI、IMSI、Android_id等）作為密鑰對敏感數(shù)據(jù)進(jìn)行加密。使攻擊者難以利用相關(guān)漏洞獲得敏感信息。（作者：國家互聯(lián)網(wǎng)應(yīng)急中心官方賬號）

小伙伴們怎么辦?

修復(fù)：APP廠商需自查

一個令人吃驚的事實(shí)是，這一攻擊方式并非剛剛被發(fā)現(xiàn)。騰訊相關(guān)負(fù)責(zé)人表在發(fā)現(xiàn)這些漏洞后，騰訊安全玄武實(shí)驗(yàn)室通過國家互聯(lián)網(wǎng)應(yīng)急中心向廠商通報(bào)了相關(guān)信息，并給出了修復(fù)方案，避免該漏洞被不法分子利用。另外，玄武實(shí)驗(yàn)室將提供“玄武支援計(jì)劃”協(xié)助處理。

于旸表示，由于對該漏洞的檢測無法自動化完成，必須人工分析，玄武實(shí)驗(yàn)室無法對整個安卓應(yīng)用市場進(jìn)行檢測，所以希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞，并進(jìn)行修復(fù)。對用戶量大、涉及重要數(shù)據(jù)的APP，玄武實(shí)驗(yàn)室也愿意提供相關(guān)技術(shù)援助。

用戶如何進(jìn)行防范？

而普通用戶最關(guān)心的則是如何能對這一攻擊方式進(jìn)行防范。知道創(chuàng)宇404實(shí)驗(yàn)室負(fù)責(zé)人回答記者提問時表示，普通用戶的防范比較頭疼，但仍有一些通用的安全措施：

首先是別人發(fā)給你的鏈接少點(diǎn)，不太確定的二維碼不要出于好奇去掃；

更重要的是，要關(guān)注官方的升級，包括你的操作系統(tǒng)和手機(jī)應(yīng)用，有小紅點(diǎn)出來時一定要及時升級。目前支付寶、餓了么等主流APP已主動修復(fù)了該漏洞，只需用戶升級到最新版本。

首先是別人發(fā)給你的鏈接少點(diǎn)，不太確定的二維碼不要出于好奇去掃；

更重要的是，要關(guān)注官方的升級，包括你的操作系統(tǒng)和手機(jī)應(yīng)用，有小紅點(diǎn)出來時一定要及時升級。目前支付寶、餓了么等主流APP已主動修復(fù)了該漏洞，只需用戶升級到最新版本。