【紧急】安卓克隆攻击爆发,刷你支付宝没商量

admin 2022年1月14日08:02:40评论119 views字数 1407阅读4分41秒阅读模式

【紧急】安卓克隆攻击爆发,刷你支付宝没商量

近日爆发了一种新型攻击,所有使用安卓手机的人,你们就是黑客攻击的目标!!!


黑客通过给你发抢红包链接诱骗受害者点击链接,一旦点击,攻击者将克隆你的所有支付宝信息【嗯,就是这么牛!


那么克隆你的信息有什么用?比如,我去商店买买买,就可以用你的支付宝二维码,用你的账号来支付啦!没错,就是这样,花你钱没商量!罒ω罒


下面就让我们来观赏一下攻击的详细过程↓


问题来了,这么可怕又隐形的攻击,小编快告诉我该怎么办!!!


最直接有效的办法是→不要随意扫描二维码访问不安全的链接!!!不要点击陌生人发来的网址!!!


当然,如果你是技术流,或者安卓开发人员,那就让我们来分析一下漏洞原理,并且按照如下配置进行修复↓

一、漏洞情况分析

        WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外,还可对URL请求、页面加载、渲染、页面交互进行处理。

        该漏洞产生的原因是在Android应用中,WebView开启了file域访问,且允许file域对http域进行访问,同时未对file域的路径进行严格限制所致。攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据

        漏洞触发成功前提条件如下:

1.WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLsAPI配置为true;

2.WebView可以直接被外部调用,并能够加载外部可控的HTML文件。

CNVD对相关漏洞综合评级为“高危”。


二、漏洞修复建议

1. file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)

2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:

(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;

(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;

(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。

4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。


获取该漏洞更多信息请访问国家信息安全漏洞共享平台http://www.cnvd.org.cn/webinfo/show/4365

【紧急】安卓克隆攻击爆发,刷你支付宝没商量

本文始发于微信公众号(宜信安全应急响应中心):【紧急】安卓克隆攻击爆发,刷你支付宝没商量

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月14日08:02:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【紧急】安卓克隆攻击爆发,刷你支付宝没商量https://cn-sec.com/archives/481219.html

发表评论

匿名网友 填写信息