导读:针对近期爆发的 Webview 高危漏洞,华为终端开放实验室自动化专检工具今日已经上线,安卓绿色联盟联盟会员用户可提交应用到云测平台进行自动检测,及时发现漏洞,为用户的安全应用体验保驾护航。

近期,华为终端开放实验室针对国内 Top1000 主流应用开展 Webview 漏洞测试工作,测试结果显示:有近 25% 的主流应用 Webview 组件存在 File 域跨域访问风险,目前华为终端开放实验室已与以上应用厂家取得联络,协助各应用在第一时间发现问题并修复。

本次 Webview 漏洞问题到底有多可怕?
国家信息安全漏洞共享平台(CNVD)对此漏洞综合评级为:高危。
本次漏洞问题被称为 “应用克隆”,顾名思义,攻击者可以通过复制用户信息,对应用用户的账户进行完全控制,并且可以随时进出,以用户的名义随意消费。
攻击者可以利用该漏洞远程获取用户的隐私数据,包括手机应用数据、照片、文档等敏感信息,亦可窃取用户登录凭证,在受害者毫无察觉的情况下对应用用户的账户进行完全控制。

如何尽早发现 Webview 漏洞?
自今天(1 月 22 日)起,华为终端开放实验室的云测平台 deveco.huawei.com 已经上线 Webview 漏洞的自动化专检工具,安卓绿色联盟会员用户可提交到云测平台 deveco.huawei.com,享受 Webview 漏洞的免费自动检测服务(安卓绿色联盟会员可无限次使用该服务)。

自检服务如何操作?

如果检测到 Webview 组件存在 File 域跨域访问风险,将会在详情中出现以下提示:


↙↙↙阅读原文可查看相关链接,并与作者交流