助力开发者,海云安支持免费检测“应用克隆”风险

【行业发展】 2018-01-24 10:14:00

2017年频发的信息安全事件,至今还让人们心有余悸,然而就在2018年新年伊始,移动信息安全领域又爆发了一场新的“风险威胁”不过,由于关注领域不同,绝大多数手机用户或许对此并不清楚。

近期腾讯安全玄武实验室宣布,新近发现了一种新型的移动攻击威胁模型,并将其命名为“应用克隆”。发布会上,玄武实验室以某App为例展示了“应用克隆”攻击的“效果”:在升级到最新安卓8.1.0的手机上,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户瞬间就被“克隆”到“攻击者”的手机中,然后“攻击者”在自己手机上可以任意查看用户账户信息,并可进行消费。

值得一提的是,存在“应用克隆”漏洞的并非该App一家,目前来看,大量主流App都存在该漏洞,通过检测国内安卓系统中的200个知名App发现,其中27家存在该漏洞,占比超过13%,对此,有业界人士指出,这些知名App的技术团队实力都较强,况且如此,数量更为庞大非一线App,存在漏洞的比例应该只高不低,如果不采取紧急措施,在网络领域发生“黑天鹅”的比例,甚至要远高于资本市场。

尽管CNVD已于12月10日对27家App进行了点对点的通报,不过,截至发布会召开时,时隔1个月,还有不少App未修复漏洞或未予反馈。“由于各个团队的技术能力有差距,目前有的App已经修复漏洞了,有的App还没有修复。希望没有及时反馈的企业能够切实加强网络安全运营能力,落实网络安全法规的主体责任要求”。

海云安测试平台免费为开发者检测“应用克隆”风险

海云安移动信息安全在线服务平台一直以来都为广大的开发者及团队提供免费专业的APP安全检测服务,本次“应用克隆”风险可通过webView控件跨域访问漏洞检测功能对此漏洞实现检测,并且仍旧支持在线免费检测,同时可生成详细的评测报告以供修复参考。

图片1.png

由于google目前暂未发布相应的解决方案,海云安提供修复方案如下:

1. file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)

2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:

(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;

(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;

(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

同时,开发者修复后,可以通过海云安的加固方案来进行APP加固保护,可以达到更深层的防护。

海云安推出行业首家移动应用的无壳加固技术,打破目前常规加壳加固技术易被破解、兼容性差等弊端,可以有效解决目前传统有壳加固方式的种种缺陷,安全防护能力突破新高,针对破解、盗版、数据窃取、钓鱼欺诈等常见风险威胁提供更加高效、可靠的安全防护服务。


上一篇:海云安:盘点2017国内移动安全十大事件 下一篇:海云安发布信息安全等级保护管理办法及技术标准汇编

立即体验,让移动世界更安全 免费注册

产品中心

联系我们

  • 客服热线:400-816-9968
  • 服务咨询:service@secidea.com
  • 市场合作:marketing@secidea.com
  • 英才招聘:hr@secidea.com
  • 更多联系方式 >>

关注我们

微信公众号

友情链接: 北京云测 金融科技协会 金融测试平台

粤ICP备16031313号-2

深圳海云安网络安全技术有限公司 www.secidea.com

粤公网安备 44030402002166号

售前咨询

电话咨询

TEL: 400-816-9968

返回顶部