應用克隆攻擊大東話安全

最新 02-06

編者按：網路空間安全近年來日漸成為公眾關注的焦點，中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄，為大家介紹網路空間安全的方方面面。

一、從一個「外賣的秘密」說起

小白：東哥，為了感謝您這麼久以來對我的耐心培養和細心教育，我決定！

大東：我咋有種不祥的預感呢，你要幹啥？

小白：我要請我帥氣的東哥吃個飯，東哥，別客氣，所有外賣軟體上的所有外賣您隨便挑，我請客！

大東：我暈，居然是吃外賣。吃之前，我先考考你，你覺得你手機上的一個外賣軟體可以看到你其他外賣軟體上你的選擇記錄和訂單記錄嗎？

小白：額，我覺得應該是看不到的吧，我記得我在手機里設置了應用許可權，況且在手機上各個軟體看起來好像都不太熟的樣子呢！除非，東哥有些特別的方法？

大東：哎呦，小白最近越來越有進步了，回答問題很在點子上呦！相比於傳統桌面、伺服器操作系統，以安卓、iOS、Windows 10為代表的現代移動操作系統在安全的特點上有了很大的不同。例如，安卓系統的訪問控制是基於應用的，在應用之間進行了隔離，每個應用只能訪問自身的資源，而無法直接訪問同一用戶其它應用中的資源。不知，你有沒有感覺你電腦上的系統漏洞補丁更新要比手機上頻繁的多呢？

手機上多種多樣的應用

小白：是哦，聽東哥一問，確實感覺是這樣的，可是我知道東哥說過，任何軟體任何系統都不可能是沒有漏洞的！

東哥：與傳統軟體相比，現代移動操作系統通過應用級許可權隔離將攻擊者獲得代碼執行權的收益降到了最低，而移動應用無權改寫自身代碼這一限制也大大增加了實現長期控制的難度。

所以，如果以傳統操作系統的攻防模式去看現代移動操作系統，就會發現雖然漏洞仍然不少，但想通過漏洞達成有意義的攻擊目的卻很難。

小白：因為不好攻擊，所以手機廠商就並不著急修復漏洞啦？

大東：是哦！不過，今天跟你講的這個網路攻擊就是針對這很難實現的移動應用攻擊，名字叫做「應用克隆攻擊」。

小白：哇哇哇，快來給我講講，超級期待呢！

二、移動應用上的危險「克隆」

小白：東哥，說起克隆，我會想到一隻羊誒，咩咩咩~

大東：恩，我還知道你說的那隻羊叫「多利」呢。

克隆羊多利

小白：東哥，你看咱倆多默契！

大東：（無語中，並不想承認很默契），剛才說到在移動應用之間的相互隔離使很多傳統意義上的攻擊變得很難實現了，那你有沒有仔細想想應用之間的這種隔離和我們上網時常用的瀏覽器網頁之間的隔離方式很像呢？

小白：額，東哥你是說我在網頁上登錄郵箱，郵箱這個網站是訪問不到我在谷歌網頁上的任何搜索數據的嗎？

大東：Bingo！在 Web 前端攻擊技術中，有很多通過跨域漏洞竊取 Cookie，實現訪問用戶賬號的方法。而移動應用在登錄後，也會通過一組身份認證憑據來訪問雲端的用戶數據。這組認證憑據可能包含一個訪問令牌，和若干其它用於輔助認證的數據。這些數據可能存儲在不同的文件里，文件可能還進行了加密。

小白：這麼多的數據保護，還是會被攻擊哦！

大東：可別小瞧漏洞的威力！「克隆」要上場了。一旦通過漏洞獲得了移動應用的代碼執行權，總是可以獲得這些認證憑據。將這些認證憑據寫入到另一台設備上同樣的移動應用中，就能以被攻擊用戶的身份使用移動應用，如同克隆出了一個雙胞胎。

應用克隆

小白：可是很多軟體在更換設備登陸時，前一台登陸設備都會被強制下線呢？那還怎麼克隆嘞。

大東：你說的確實是對安全比較敏感的那些應用的保護方法。但是移動應用的這種限制通常都只在登錄階段進行檢查。對於上面提到的直接克隆身份認證憑據的攻擊方式，幾乎所有移動應用都沒有防範策略。

三、大神如是說

小白：「應用克隆」到底是在什麼時候發生的呢？東哥，快再來點乾貨！

大東：進行移動應用克隆攻擊甚至並不一定需要獲得代碼執行權。絕大多數情況下，利用某些能讀文件的漏洞就足以獲得移動應用的認證憑據。一般來說，瀏覽器將本地文件都視作同一個域。也就是說，如果在你的系統上存在一個網頁文件，用瀏覽器打開這個文件，那麼其中的 JavaScript 腳本就可以讀取本地的其它文件，並將其通過網路發送出去。各種瀏覽器在很久以前就意識到了這個安全風險，並大多做了相應處理。

小白：處理了我就放心了。

大東：我還沒說完呢，你在使用手機上的應用的時候，有時候是不是要跳轉到一些網頁啊，危險就在這時候來到你身邊咯~

小白：不要嚇我！

大東：WebView 是系統提供給移動應用的瀏覽器組件。通過調用，移動應用自身就可以訪問網頁內容。所以有非常多的移動應用都內嵌了 WebView。但 WebView 在訪問本地網頁文件時，默認並無安全限制，那麼當 WebView 打開一個惡意本地網頁文件時候，這個文件就可以讀取移動應用中的文件並發送出去。也就是說，可以竊取身份認證憑據，實現移動應用克隆攻擊。據騰訊安全玄武實驗室分析，國內安卓應用中可能有超過10%的應用可通過 WebView 讀取本地文件。

小白：我是個乖寶寶，我看的網頁都是能夠學習知識的網頁！不去瀏覽一個「充滿惡意」的網頁就不怕被克隆啦！

大東：說得太好了，接下來我就要告訴你，你是怎麼神不知鬼不覺的訪問了一個「充滿惡意」的網頁文件了。很多移動應用可以在 URL Scheme 中接收 URL 參數，並傳遞給 WebView。而 URL Scheme 是不受同源策略限制的。這樣，我們就可以將指向本地網頁文件的 URL 轉換為 URL Scheme，然後再將 URL Scheme 轉換為一個普通的 URL 。而普通的 URL 幾乎能以包括簡訊、郵件等在內的任何方式發送給用戶，並在任何應用中打開。

小白：弱弱的問一句，啥是 URL ？

大東：URL 就是網頁地址的意思啦~簡稱網址啦~