【漏洞預警】CNNVD 關于iOS平臺WebView組件跨域漏洞情況的通報
近日,國家信息安全漏洞庫(CNNVD)收到關于iOS 平臺WebView組件(UIWebView/ WKWebView)跨域訪問漏洞(CNNVD-201801-515)情況的報送。成功利用該漏洞的攻擊者可以遠程獲取手機應用沙盒內所有本地文件系統內容,包括瀏覽器的Cookies、用戶的配置文件、文檔等敏感信息。iOS平臺大量使用了WebView組件的應用均受影響。目前,廠商暫未發布解決方案,但可通過臨時措施緩解漏洞造成的危害。
一、漏洞介紹 WebView是iOS用于顯示網頁的控件,是一個基于Webkit引擎、展現web頁面的控件。WebView控件功能除了具有一般View的屬性和設置外,還可對URL請求、頁面加載、渲染、頁面交互進行處理。 iOS平臺的WebView組件(UIWebView/WKWebView)存在控件跨域訪問漏洞(CNNVD-201801-515),漏洞源于UIWebView 默認允許“file://” 域發起跨域請求,而WKWebView可通過手動設置允許“file://”域發起跨域請求。攻擊者可利用App文件下載機制將惡意文件寫入沙盒內并誘導用戶打開,當用戶打開惡意文件時,其中的惡意代碼可通過AJAX向“file://”域發起請求,從而遠程獲取App沙盒內所有的本地敏感數據。
二、危害影響 成功利用該漏洞的攻擊者,可以遠程獲取手機應用沙盒內所有本地文件系統內容,包括瀏覽器的Cookies、用戶的配置文件、文檔等敏感信息。iOS平臺的應用如果在使用WebView組件時,未考慮上述情況,則會受到漏洞影響。 根據CNNVD漏洞分級規范,該漏洞的危害評級為高危。
三、修復建議
目前,廠商暫未發布解決方案,但可通過臨時解決方案緩解漏洞造成的危害,具體措施如下: 對于iOS應用的開發人員,在調用WebView組件開發時,可參考如下建議:
1. 避免開啟文件域的全局訪問; 2. 避免在WebView中加載來自外部傳入的“file://”域頁面; 3. 對于敏感信息數據,建議進行加密處理后存儲,或使用iOS平臺推薦的KeyChain服務進行存儲,可緩解漏洞可能造成的破壞; 來源:國家信息安全漏洞庫
