国内10% APP都能被克隆 360加固保率先提供漏洞检测服务

  近期国内多款安卓版知名手机APP被曝光存在“应用克隆”漏洞。攻击者利用该漏洞，能轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等，国内约10%的主流APP受到漏洞影响。作为中国领先的网络安全厂商，360旗下APP从产品研究开发阶段就已对“应用克隆”攻击威胁做全面预防，完全不受此次漏洞影响。

  360旗下的360加固保联合自动化漏洞检验测试平台360显危镜，针对该问题，第一时间上线解决方案，提供免费的在线安全扫描服务，开发者只需登录加固官网(，选择“安全扫描”服务，一键上传应用，就可以获得专业的安全风险报告。

  需要注意的是，如果报告中同时存在“WebView存在本地接口”和“WebView启动访问文件数据”两个漏洞风险，开发者就要尤其注意，通过人工检测的方法判断APP是否有被利用的安全风险。

  根据360信息安全中心的评估，“应用克隆”漏洞攻击模型中主要涉及到两个过程，一是数据读取，二是数据复制。在数据读取过程中主要涉及到WebView的跨源攻击，因为Android沙盒的存在，两个应用之间正常的情况下是不能够直接进行文件的相互访问，但不正确的使用WebView可能会打破这种隔离。WebView未禁用file域访问，允许file域访问http域，且未对file域的路径进行严格限制的情况下，攻击者通过URL Scheme的方式，可远程打开并加载恶意HTML文件，远程获取APP中包括用户登录凭证在内的所有本地敏感数据，并外传到攻击者的服务器。

  由于漏洞的攻击链条中，需要利用多个漏洞才能实现，因此可有多种方式截断该攻击的实现方式。针对上述几个问题，只要从任何一点截断，即可极大程度上杜绝该漏洞攻击的实现。

  1. 在使用Webview时，对于不需要用file协议的应用，禁用file协议。

  setAllowFileAccess可设为是否允许WebView使用File协议，默认值是允许，如果不允许使用File协议，则不会存在跨源的安全威胁。

  固定不变的HTML文件可以放到assets或res目录，可能会更新的HTML文件放到应用私有目录下，避免被第三方替换或修改，对file域请求做白名单限制时，需要对“../../”特殊情况做处理，避免白名单被绕过。

  360加固保始终致力于守护为移动应用安全，会及时推送安全相关资讯、第一时间发布漏洞预警，提供解决方案，关注微信公众号(360加固保)，为移动应用安全保驾护航。

  目前慢慢的变多的APP遭受到黑客攻击，包括数据库被篡改，APP里的用户数据被泄露，手机号以及姓名，密码，资料都被盗取，很多平台的APP的银行卡，充值通道，聚合支付接口也都被黑客修改过，导致APP运营者经济损失太大，很多通过老客户的介绍找到我们SINE安全公司，寻求安全防护，防止攻击。

  天气越来越凉爽,在对客户网站代码进行渗透测试,漏洞测试的同时我们SINE安全渗透技术要对客户的网站源代码进行全方位的安全检测与审计,只有真正的了解网站,才可以更好的去渗透测试,发现网站存在的漏洞,尽可能的让客户的网站在上线之前,安全防护做到最极致.在后期的网站,平台加快速度进行发展过程中,避免重大的漏洞导致的

  近期对平台安全渗透测试中遇到有JAVA+mysql架构的网站,针对此架构我们Sine安全渗透工程师整理了下具体的漏洞检测的新方法和防护修复方法，很多像执行框架漏洞获取到系统权限,以及跨权限写入木马后门等等操作，希望我们大家在渗透测试的道路中发现更多的知识和经验。

  2019年第三季度以来，我们SINE安全，APP漏洞检测中心发现许多APP被检测出含有高危漏洞，包括目前漏洞非常严重的SIM卡漏洞以及安卓端、IOS端漏洞，根据上半年的安全检测以及漏洞测试分析发现，目前移动APP软件漏洞的发展速度上涨百分之30，大部分的APP漏洞都已被商业利用以及窃取用户隐私信息，

  实力圈粉！kingslac儿童叶黄素荣获妈妈网2023母婴品牌口碑榜· 口碑新星奖！

  AI大模型企业卓世科技完成B轮融资 夯实AI中间层能力，加快布局垂直行业大模型和Agent应用

  财富管理行业持续向好 百融云创财富管理“4+1”体系助力数智化客群经营

  今日头条极速版邀请码是多少？2024今日头条极速版邀请码（整合10个分享）

  AMD 重塑汽车产业，以先进 AI 引擎及增强的车载体验亮相 CES 2024