OPPO安全首次亮相Black Hat Asia 2021亚洲黑帽大会

在本届Black Hat Asia 2021大会上，OPPO子午互联网安全实验室曾智洋、吴逸民、刘波带来《A New Era of One-Click Attacks: How to Break Install-Less Apps》的议题，该议题着眼于分析以快应用为代表的免安装应用的开发全生命周期中的安全架构设计与安全漏洞，介绍我们在Google PWA、QuickApp、Apple Appclips、Google InstantApp等流行产品中发现的一部分安全隐患，并详细说明如何从浏览器一键发起攻击，并实行远程命令执行。

本文通过实际的漏洞案例，从安全研究人员和开发者角度去讲解在免安装应用引擎中频发的漏洞以及如何规避此类风险， 比如：

• 引擎文件沙箱：引擎应当限制快应用runtime或缓存的任何数据到引擎私有目录下的具体目录，切勿存放在外部存储，同时应防止目录穿越或zipdown类型漏洞；

• 引擎权限管控：引擎应当对过于敏感的权限进行后台管控，除了麦克风摄像头等，也应该关注获取用户隐私信息，如通讯录、imei等信息的权限；

• 引擎进程与数据隔离：可把引擎比做浏览器，每个快应用作为一个标签页即一个独立的render process进程，应用间共享数据以及操作引擎数据库式应做好权限和可修改范围检查。

• JS引擎漏洞：除了需要关注解析免安装应用代码本身javascript代码的js解析引擎漏洞，也应该关注webview组件的js引擎漏洞；

• 图片、音视频渲染组件：对于此类组件的安全漏洞也应当引起重视。

OPPO安全希望本次分享能帮助更多的开发者了解及规避安全隐患，安全生态共建需要每一个您的参与。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/