针对近期爆发的Webview高危漏洞,华为终端开放实验室自动化专检工具今日已经上线,安卓绿色联盟会员用户可提交应用到云测平台进行自动检测,及时发现漏洞,为用户的安全应用体验保驾护航。
近期,华为终端开放实验室针对国内Top1000主流应用开展Webview漏洞测试工作,测试结果显示:有近25%的主流应用Webview组件存在File域跨域访问风险,目前华为终端开放实验室已与以上应用厂家取得联络,协助各应用在第一时间发现问题并修复。
国家信息安全漏洞共享平台(CNVD)对此漏洞综合评级为:高危。
本次漏洞问题被称为“应用克隆”,顾名思义,攻击者可以通过复制用户信息,对应用用户的账户进行完全控制,并且可以随时进出,以用户的名义随意消费。
攻击者可以利用该漏洞远程获取用户的隐私数据,包括手机应用数据、照片、文档等敏感信息,亦可窃取用户登录凭证,在受害者毫无察觉的情况下对应用用户的账户进行完全控制。
自今天(1月22日)起,华为终端开放实验室的云测平台deveco.huawei.com已经上线Webview漏洞的自动化专检工具,安卓绿色联盟会员用户可提交到云测平台deveco.huawei.com,享受Webview漏洞File域跨域访问风险的免费自动检测服务(安卓绿色联盟会员可无限次使用该服务)。
如果检测到Webview组件存在File域跨域访问风险,将会在详情中出现以下提示: