CNNVD 關於iOS平台WebView組件跨域漏洞情況的通報

近日，國家信息安全漏洞庫（CNNVD）收到關於iOS 平台WebView組件（UIWebView/ WKWebView）跨域訪問漏洞（CNNVD-201801-515）情況的報送。成功利用該漏洞的攻擊者可以遠程獲取手機應用沙盒內所有本地文件系統內容，包括瀏覽器的Cookies、用戶的配置文件、文檔等敏感信息。iOS平台大量使用了WebView組件的應用均受影響。目前，廠商暫未發布解決方案,但可通過臨時措施緩解漏洞造成的危害。

一、漏洞介紹

WebView是iOS用於顯示網頁的控制項，是一個基於Webkit引擎、展現web頁面的控制項。WebView控制項功能除了具有一般View的屬性和設置外，還可對URL請求、頁面載入、渲染、頁面交互進行處理。

iOS平台的WebView組件（UIWebView/WKWebView）存在控制項跨域訪問漏洞（CNNVD-201801-515）,漏洞源於UIWebView 默認允許「file://」域發起跨域請求，而WKWebView可通過手動設置允許「file://」域發起跨域請求。攻擊者可利用App文件下載機制將惡意文件寫入沙盒內並誘導用戶打開，當用戶打開惡意文件時，其中的惡意代碼可通過AJAX向「file://」域發起請求，從而遠程獲取App沙盒內所有的本地敏感數據。

二、危害影響

成功利用該漏洞的攻擊者，可以遠程獲取手機應用沙盒內所有本地文件系統內容，包括瀏覽器的Cookies、用戶的配置文件、文檔等敏感信息。iOS平台的應用如果在使用WebView組件時，未考慮上述情況，則會受到漏洞影響。

根據CNNVD漏洞分級規範，該漏洞的危害評級為高危。

三、修復建議

目前，廠商暫未發布解決方案，但可通過臨時解決方案緩解漏洞造成的危害，具體措施如下：

對於iOS應用的開發人員，在調用WebView組件開發時，可參考如下建議：

對於iOS應用的使用者，請隨時關注相關應用的更新提醒，及時升級最新版本，修復該漏洞。

CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯繫。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！