国际主流安卓 APP 被爆存在「使用克隆」风险。2018年1月9日，在正式对外披露攻击要挟模型「使用克隆」的旧事发布会上，腾讯平安玄武实验室担任人于旸(TK教主)现场展现了一段视频，用一场真实测试为群众揭秘“使用克隆”挪动攻击要挟，一些往常不被注重的小破绽，最终演化成窃取隐私信息和盗取账号资金的大危机。

在发现这些破绽后，腾讯平安玄武实验室经过 CNCERT 向厂商通报了相关信息，并给出了修复方案，防止该破绽被不法分子应用。目前，关于用户数量大、触及重要数据的 APP，腾讯平安玄武实验室情愿提供相关技术援助，与此同时，腾讯云挪动平安团队联手玄武实验室，对想要检测能否存在「使用克隆」破绽的客户提供1V1的收费检测效劳。

发布会现场演示使用克隆破绽

「使用克隆」破绽发生的缘由，以及将被如何应用?

发布会上，于旸指出：“多点耦合发生了可怕破绽，所谓多点耦合，是 A 点看上去没成绩，B 点看上去也没成绩，但是 A 和 B 组合起来，就组成了一个大成绩。”

「使用克隆」破绽发生的缘由是在 安卓 APP 中，WebView 开启了 file 域拜访，且允许 file 域对 http 域停止拜访，同时未对 file 域的途径停止严厉限制所致。「使用克隆」破绽只会影响运用 WebView 控件，开启了 file 域拜访并且未按平安战略开发的安卓 APP。由此可见，「使用克隆」 攻击的成功施行需求多个破绽的互相配合。

据引见，「使用克隆」破绽至多触及国际10%的主流 安卓 APP，简直影响国际一切安卓 用户。黑客可应用 Android 平台 WebView 控件的跨域拜访破绽(CNVD-2017-36682)，近程获取用户隐私数据(包括 手机 使用数据、照片、文档等敏感信息)，还可窃取用户登录凭证，在受益者毫无发觉的状况下完成对 APP 用户账户的完全控制。

处理方案

值得庆幸的是，腾讯平安玄武实验室在不法黑客前发现了「使用克隆」攻击模型，占据了攻防自动。目前，受影响的APP厂商都已完成或正在积极的修复当中，详细修复可以参考国度信息平安破绽共享平台结合腾讯提供的暂时处理方案，如下所示：

1. file 域拜访为非功用需求时，手动配置 setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLs 两个 API 为 false。(Android4.1版本之前这两个 API 默许是 true，需求显式设置为 false)

2. 若需求开启 file 域拜访，则设置 file 途径的白名单，严厉控制 file 域的拜访范围，详细如下：

(1)固定不变的 HTML 文件可以放在 assets 或 res 目录下，file:///android_asset 和 file:///android_res 在不开启 API 的状况下也可以拜访;

(2)能够会更新的 HTML 文件放在/data/data/(app) 目录下，防止被第三方交换或修正;

(3)对 file 域恳求做白名单限制时，需求对“../../”特殊状况停止处置，防止白名单被绕过。

3. 防止 APP 外部的 WebView 被不信任的第三方调用。排查内置 WebView 的Activity 能否被导出、必需导出的 Activity 能否会经过参数传递调起内置的 WebView等。

4. 建议进一步对 APP 目录下的敏感数据停止维护。客户端 APP 使用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据停止加密。使攻击者难以应用相关破绽取得敏感信息。