CNNVD 关于iOS平台WebView组件跨域漏洞情况的通报

近日，国家信息安全漏洞库（CNNVD）收到关于iOS 平台WebView组件（UIWebView/ WKWebView）跨域访问漏洞（CNNVD-201801-515）情况的报送。成功利用该漏洞的攻击者可以远程获取手机应用沙盒内所有本地文件系统内容，包括浏览器的Cookies、用户的配置文件、文档等敏感信息。iOS平台大量使用了WebView组件的应用均受影响。目前，厂商暂未发布解决方案,但可通过临时措施缓解漏洞造成的危害。

一、漏洞介绍

WebView是iOS用于显示网页的控件，是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外，还可对URL请求、页面加载、渲染、页面交互进行处理。

iOS平台的WebView组件（UIWebView/WKWebView）存在控件跨域访问漏洞（CNNVD-201801-515）,漏洞源于UIWebView 默认允许“file://”域发起跨域请求，而WKWebView可通过手动设置允许“file://”域发起跨域请求。攻击者可利用App文件下载机制将恶意文件写入沙盒内并诱导用户打开，当用户打开恶意文件时，其中的恶意代码可通过AJAX向“file://”域发起请求，从而远程获取App沙盒内所有的本地敏感数据。

二、危害影响

成功利用该漏洞的攻击者，可以远程获取手机应用沙盒内所有本地文件系统内容，包括浏览器的Cookies、用户的配置文件、文档等敏感信息。iOS平台的应用如果在使用WebView组件时，未考虑上述情况，则会受到漏洞影响。

根据CNNVD漏洞分级规范，该漏洞的危害评级为高危。

三、修复建议

目前，厂商暂未发布解决方案，但可通过临时解决方案缓解漏洞造成的危害，具体措施如下：

对于iOS应用的开发人员，在调用WebView组件开发时，可参考如下建议：

1.避免开启文件域的全局访问； 2.避免在WebView中加载来自外部传入的“file://”域页面； 3.对于敏感信息数据，建议进行加密处理后存储，或使用 iOS 平台推荐的 KeyChain 服务进行存储，可缓解漏洞可能造成的破坏。

对于iOS应用的使用者，请随时关注相关应用的更新提醒，及时升级最新版本，修复该漏洞。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

联系方式:[email protected]

原文始发于微信公众号（CNNVD安全动态）：CNNVD 关于iOS平台WebView组件跨域漏洞情况的通报