?
网络安全

关于Android平台WebView控件存在跨域访问高危漏洞的预警通报

发布时间: 2018-01-18 12:57:08    浏览次数: 31

近日,国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于  Android平台,导致大量APP受影响,构成较为严重的攻击威胁。

一、漏洞情况分析

WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外,还可对URL请求、页面加载、渲染、页面交互进行处理。

该漏洞产生的原因是在Android应用中,WebView开启了file域访问,且允许file域对http域进行访问,同时未对file域的路径进行严格限制所致。攻击者通过URL   Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据。

漏洞触发成功前提条件如下:

1. WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLs API配置为true;

2. WebView可以直接被外部调用,并能够加载外部可控的HTML文件。

CNVD对相关漏洞综合评级为“高?!?。

二、漏洞影响范围

 漏洞影响使用WebView控件,开启file域访问并且未按安全策略开发的Android应用APP。

三、漏洞修复建议

厂商暂未发布解决方案,临时解决方案如下:

1. file域访问为非功能需求时,手动配置setAllow  FileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android 4.1版本之前这两个 API默认是true,需要显式设置为false)

2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:

(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;

(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;

(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。

4. 建议进一步对APP目录下的敏感数据进行?;???突Ф薃PP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。

 

                                    国家计算机网络应急技术处理协调中心西藏分中心

                                                             2018年1月18日


附件:

?

西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 www.w6v0k.net ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006

488| 833| 397| 379| 795| 568| 938| 125| 3| 914|