یک آسیبپذیری در نرمافزار Imou Life نسخه 6.7.0 شناسایی شده است که منجر به سرقت Session خواهد شد و به مهاجم این امکان را خواهد داد تا بهدلیل عدم فیلتر کردن صحیح کدهای QR هنگام اسکن یک دستگاه جدید و اجرای مستقیم WebView بدون نمایش یا هشدار به کاربر، حسابهای کاربری را کنترل کند. این آسیبپذیری ممکن است حملات فیشینگ را فعال کند. مهاجم از راه دور میتواند کد دلخواه خود را از طریق پردازش نادرست کد intent اجرا کند و فعالیت com.mm.android.easy4ip.MainActivity در برنامه com.mm.android.smartlifeiot بدون بررسی صحیح URLها از طریق دادههای intent عمل بارگذاری را انجام دهد.
یک برنامه مخرب third party میتواند از این نقص سوءاستفاده کرده و بارگذاری محتوای مخرب وب را انجام دهد؛ عملیات استخراج جاوا اسکریپت غیرمجاز یا اجرای کد از راه دور در WebView قابل انجام است. برای این کار هیچ مجوزی مورد نیاز نیست. برای مثال، یک برنامه مخرب third party (com.example.d3m0) میتواند یک intent را به صورت زیر ایجاد و راهاندازی کند:
پس از اجرای این کد، com.mm.android.easy4ip.MainActivity فراخوانی میشود تا محتوا از http://maliciouswebsitetest.com بارگذاری شود.
در com.mm.android.easy4ip.MainActivity، URLها بدون اعتبارسنجی کافی از دادههای intent بارگذاری میشوند:
this.url = getIntent().getExtras().getString("url");
دستور زیر نشان میدهد که اجرای جاوا اسکریپت در WebView فعال میشود:
this.webView.getSettings().setJavaScriptEnabled(true);
با دستور زیر بارگذاری مستقیم محتوای وب با استفاده از URL دریافت شده:
progressWebView.loadUrl(str);
مهاجم میتواند از این آسیبپذیری جهت اجرای جاوا اسکریپت دلخواه خود بهرهبرداری کرده و منجر به اجرای کد از راه دور شود، شروع عملیات استخراج جاوا اسکریپت غیرمجاز، منابع دستگاه را مصرف میکند و دسترسی به اینترنت از دستگاه قربانی را بدون مجوزهای لازم درخواست خواهد کرد.
محصولات تحت تأثیر
این آسیبپذیری در نرمافزار Imou Life نسخه 6.7.0 وجود دارد.
راهکارهای امنیتی
جهت جلوگیری از آسیبپذیری مذکور میتوان از راهکارهای زیر استفاده کرد:
1. اعتبارسنجی دادههای Intent: اطمینان حاصل کنید که هر دادهای که از Intent دریافت میشود، به ویژه URLها، به دقت اعتبارسنجی شود. از روشهای مانند استفاده از Regex جهت اعتبارسنجی آدرسهای وب استفاده کنید. اگر یک URL اعتبارسنجی نشود، نباید به WebView ارسال شود.
2. غیرفعال کردن اجرای جاوا اسکریپت: اگر برنامه شما نیازی به اجرای جاوا اسکریپت در WebView ندارد، بهتر است JavaScript را غیرفعال کنید. این امر میتواند از اجرای کدهای مخرب در WebView جلوگیری کند.
3. استفاده از فیلترینگ محتوای وب: پیادهسازی یک سیاست فیلترینگ برای WebView به وسیلهی یک لیست سفید از دامنهها یا URLهای مجاز میتواند کمککننده باشد. همچنین امکان بارگذاری محتوا تنها از منابع مورد اعتماد وجود داشته باشد و سایر منابع را مسدود کنید.
4. اگر فعالیت MainActivity نیازی به استفاده از برنامههای third party ندارد، از طریق اعلام در manifest آن را به عنوان «Non-Exporte» در نظر بگیرید. این اقدام میتواند از دسترسی برنامههای مخرب جلوگیری کند.
5. اعمال بهروزرسانی به آخرین نسخه
منابع خبر:
[1] https://github.com/actuator/imou/blob/main/imou-life-6.8.0.md
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-6913
- 63