云测服务 华为终端开放实验室上线 Webview 漏洞检测能力

华为终端开放实验室 · 2018年01月23日 · 最后由 石头鸟 回复于 2018年01月23日 · 1905 次阅读

导读:针对近期爆发的 Webview 高危漏洞,华为终端开放实验室自动化专检工具今日已经上线,安卓绿色联盟联盟会员用户可提交应用到云测平台进行自动检测,及时发现漏洞,为用户的安全应用体验保驾护航。

近期,华为终端开放实验室针对国内 Top1000 主流应用开展 Webview 漏洞测试工作,测试结果显示:有近 25% 的主流应用 Webview 组件存在 File 域跨域访问风险,目前华为终端开放实验室已与以上应用厂家取得联络,协助各应用在第一时间发现问题并修复。

本次 Webview 漏洞问题到底有多可怕?
国家信息安全漏洞共享平台(CNVD)对此漏洞综合评级为:高危。
本次漏洞问题被称为 “应用克隆”,顾名思义,攻击者可以通过复制用户信息,对应用用户的账户进行完全控制,并且可以随时进出,以用户的名义随意消费。
攻击者可以利用该漏洞远程获取用户的隐私数据,包括手机应用数据、照片、文档等敏感信息,亦可窃取用户登录凭证,在受害者毫无察觉的情况下对应用用户的账户进行完全控制。

如何尽早发现 Webview 漏洞?
自今天(1 月 22 日)起,华为终端开放实验室的云测平台 deveco.huawei.com 已经上线 Webview 漏洞的自动化专检工具,安卓绿色联盟会员用户可提交到云测平台 deveco.huawei.com,享受 Webview 漏洞的免费自动检测服务(安卓绿色联盟会员可无限次使用该服务)。

自检服务如何操作?

如果检测到 Webview 组件存在 File 域跨域访问风险,将会在详情中出现以下提示:

共收到 5 条回复 时间 点赞

能简单说下原理么?光这种推广帖没多大意义。

我查了下,大胆推测 (应该是类似的扫描工具,放到 pipeline 中)
https://github.com/linkedin/qark
http://www.infoq.com/cn/news/2015/09/qark
下面这个是内存泄漏的工具
https://github.com/square/leakcanary

7-1 8-2 9-3

恒温 回复

tk 那天公布这个漏洞的时候说这玩意检测不能自动化,我就恨不得想去微博上找他谈如何自动化,后来忙就没顾上这个。

我们公司两款产品也检测出问题,通过参数设置以及修复

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册