Android WebView 远程代码执行漏洞

最新推荐文章于 2022-06-03 19:52:48 发布
最新推荐文章于 2022-06-03 19:52:48 发布
阅读量9.2k 收藏
点赞数 3
分类专栏: Android之性能优化 Android之应用实战 文章标签: android 安全漏洞 javascript sdk webview
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bihansheng2010/article/details/50128489
版权

这个周末我们新开发的app超嘀折交给乌云测试检测,其中WebView 远程代码执行漏洞被反复提出,当时就蒙了,这是个什么东西,在网上查了很多资料,在这里做出记录。

一、 漏洞描述

Android的SDK中提供了的WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。 WebView组件中的addJavascriptInterface方法可以用于实现本地Java和JavaScript的交互。但是这个方法存在远程代码执行漏洞,远程攻击者利用此漏洞能实现本地java和js的交互,可对Android移动终端进行网页挂马从而控制受影响设备。

简单地说,就是用addJavascriptInterface可能导致不安全,因为JS可能包含恶意代码。当JS包含恶意代码时,它可以干任何事情:访问当前设备的SD卡上面的任何东西,甚至是联系人信息,短信等。

二、 漏洞检测

常用检测漏洞的方法是用webView打开下面的页面,如果当前 app 存在漏洞,将会在页面中输出存在漏洞的接口方便程序员做出修改:

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8" />
    <title>WebView 漏洞检测</title>
    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=0">
</head>
<body>
<p>
    <b>如果当前 app 存在漏洞,将会在页面中输出存在漏洞的接口方便程序员做出修改:</b>
</p>
<script type="text/javascript">
    function check()
    {
        for (var obj in window)
        {
            try {
                if ("getClass" in window[obj]) {
                    try{
                        window[obj].getClass();
                        document.write('<span style="color:red">'+obj+'</span>');                              document.write('<br />');
                    }catch(e){
                    }
                }
            } catch(e) {
            }
        }
    } check();
</script>
</body>
</html>

check()方法遍历所有window的对象,然后找到包含getClass方法的对象。如果getClass方法能够获取对象,那么就可以利用这个对象的类进行入侵操作。

三、解决方案

1、Android 4.2以上

Android4.2 开始,对于JavaScript代码通过addJavascriptInterface 添加的java 代码的调用做出了限制,只有public并且声明了@JavascriptInterface 的方法才可以被JavaScript代码调用。

 @SuppressLint({"JavascriptInterface", "SetJavaScriptEnabled"})
     public void showSalesActivity(String url) {
       webView.loadUrl(url);
    }

2、Android 4.2以下

Android 4.2一下版本就比较不容易解决。主要的思路是动态生成一段声明Javascript方法的JS脚本,通过loadUrl来加载它,从而注册到html页面中,这个js中调用prompt方法,通过prompt把JS中的信息传递给java(这些信息应该是我们组合成的一段有意义的文本,可能包含:特定标识,方法名称,参数等),在onJsPrompt方法中,我们去解析传递过来的文本,得到方法名,参数等,再通过反射机制,调用指定的方法,从而调用到Java对象的方法。

``` python
package com.heshidai.javatojs;

import android.annotation.SuppressLint;
import android.annotation.TargetApi;
import android.graphics.Bitmap;
import android.os.Build;
import android.os.Bundle;
import android.support.design.widget.FloatingActionButton;
import android.support.design.widget.Snackbar;
import android.support.v7.app.AppCompatActivity;
import android.support.v7.widget.Toolbar;
import android.view.View;
import android.webkit.JsPromptResult;
import android.webkit.WebChromeClient;
import android.webkit.WebSettings;
import android.webkit.WebView;
import android.webkit.WebViewClient;

import org.json.JSONObject;

public class MainActivity extends AppCompatActivity {
    private WebView webView;
    private JSCallManager jsCallManager;

    @TargetApi(Build.VERSION_CODES.HONEYCOMB)
    @SuppressLint({"JavascriptInterface"})
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        Toolbar toolbar = (Toolbar) findViewById(R.id.toolbar);
        setSupportActionBar(toolbar);

        FloatingActionButton fab = (FloatingActionButton) findViewById(R.id.fab);
        fab.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View view) {
                Snackbar.make(view, "Replace with your own action", Snackbar.LENGTH_LONG)
                        .setAction("Action", null).show();
            }
        });

        webView = (WebView) findViewById(R.id.webView);
        WebSettings webSettings = webView.getSettings();
        webSettings.setJavaScriptEnabled(true);
        webSettings.setJavaScriptCanOpenWindowsAutomatically(true);
        webSettings.setAllowFileAccess(true);//允许访问文件
        webSettings.setSupportZoom(true);//设置支持缩放
        webSettings.setCacheMode(WebSettings.LOAD_NO_CACHE);//设置缓存模式(不使用缓存,只从网络获取数据.)
        webSettings.setBuiltInZoomControls(true);//启动内置缩放
        webSettings.setLoadsImagesAutomatically(true);//自动加载图片
        webSettings.setDefaultTextEncodingName("UTF-8");
        webSettings.setLoadWithOverviewMode(true);//自适应屏幕
        webView.setWebViewClient(new MyWebViewClient());
        webView.setWebChromeClient(new MyWebChromeClient());
        webView.loadUrl("www.baidu.com");

        //JSCallManager本地处理js消息的对象
        if (Build.VERSION.SDK_INT >= 17) {
            // 在sdk4.2以上的系统上继续使用addJavascriptInterface
            webView.addJavascriptInterface(new JSCallManager(this), "Native");
        } else {
            //4.2之前 addJavascriptInterface有安全泄漏风险
            //移除js中的searchBoxJavaBridge_对象,在Android 3.0以下,系统自己添加了一个叫
            //searchBoxJavaBridge_的Js接口,要解决这个安全问题,我们也需要把这个接口删除
            jsCallManager = new JSCallManager(this);
            webView.removeJavascriptInterface("searchBoxJavaBridge_");
            // 在 h5开始加载时动态给js注入Native对象和call方法,模拟addJavascriptInterface
            //接口给js注入Native对象
            //动态注入的好处就是不影响线上的h5数据,不影响ios使用
            //在onPageStarted方法中注入是因为在h5的onload方法中有与本地交互的处理
            //prompt()方法是js弹出的可输入的提示框

            webView.loadUrl("javascript:if(window.Native == undefined){window.Native=\n"+  "{call:function(arg0,arg1){prompt('{\\\"methodName\\\":' + arg0 + ',\\\"jsonValue\\\":' + \n" +  "arg1 + '}')}}};\"");
        }
    }

    class MyWebViewClient extends WebViewClient {
        //WebViewClient的方法 h5开始加载的回调
        public void onPageStarted(WebView view, String url, Bitmap favicon) {
            super.onPageStarted(view, url, favicon);
            if (Build.VERSION.SDK_INT < 17) {
                // 在 h5开始加载时动态给js注入Native对象和call方法,模拟addJavascriptInterface
                //接口给js注入Native对象
                //动态注入的好处就是不影响线上的h5数据,不影响ios使用
                //在onPageStarted方法中注入是因为在h5的onload方法中有与本地交互的处理
                //prompt()方法是js弹出的可输入的提示框
                view.loadUrl("javascript:if(window.Native == undefined){" +
                        "window.Native=\n" +
                        "{" +
                        "onButtonClick:function(arg0,arg1){" +
                        "prompt('{\\\"methodName\\\":' + javaMethod + ',\\\"jsonValue\\\":' + \n" + "jsonValue + '}')" +
                        "}" +
                        "}" +
                        "};");
            }
        }
    }


    class MyWebChromeClient extends WebChromeClient {
        //当js调用prompt方法时会触发onJsPrompt
        //message就是js传给本地的信息
        //result.confirm是回传给js的信息
        @Override
        public boolean onJsPrompt(WebView view, String url, final String message, String defaultValue, JsPromptResult result) {
            if (Build.VERSION.SDK_INT < 17) {
                new Thread(new Runnable() {
                    @Override
                    public void run() {
                        try {
                            //message的格式是json
                            //jsCallManager.call方法是原来处理js响应事件的方法,methodName是指要处理的js事件名称,jsonValue是指要处理的js事件的参数
                            JSONObject jsonObject = new JSONObject(message);
                            String methodName = jsonObject.getString("methodName");
                            String jsonValue = jsonObject.getString("jsonValue");
                            jsCallManager.call(methodName, jsonValue);
                        } catch (Exception e) {

                        }
                    }
                }).start();
            }
            result.confirm("callBackMessage");//返回给js的去处理的数据
            return super.onJsPrompt(view, url, message, defaultValue, result);
        }
    }
}

需要注意的是:
1】刚开始时在当WebView正常加载URL后去加载Js,但发现会存在问题,如果当WebView跳转到下一个页面时,之前加载的Js就可能无效了,所以需要再次加载。这个问题经过尝试,需要在以下几个方法中加载Js,它们是WebChromeClient和WebViewClient的方法:
onLoadResource
doUpdateVisitedHistory
onPageStarted
onPageFinished
onReceivedTitle
onProgressChanged
目前测试了这几个地方,没什么问题,这里我也不能完全确保没有问题。

【2】需要过滤掉Object类的方法。由于通过反射的形式来得到指定对象的方法,他会把基类的方法也会得到,最顶层的基类就是Object,所以我们为了不把getClass方法注入到Js中,所以我们需要把Object的公有方法过滤掉。这里严格说来,应该有一个需要过滤方法的列表。目前我的实现中,需要过滤的方法有:
“getClass”,
“hashCode”,
“notify”,
“notifyAll”,
“equals”,
“toString”,
“wait”,

3、removeJavascriptInterface

当系统辅助功能中的任意一项服务被开启后,所有由系统提供的WebView都会被加入两个JS objects,分别为是”accessibility” 和 “accessibilityTraversal”。如果APP使用了系统的WebView,并且设置了setJavaScriptEnabled(),那么恶意攻击者就可以使用”accessibility” 和 “accessibilityTraversal” 这两个Java Bridge来执行远程攻击代码。
不同的Android 系统版本的可被攻击性也是不一样的。从API Level 17 (含)也就是Android4.2 开始,对于JavaScript代码通过addJavascriptInterface 添加的java 代码的调用做出了限制,只有public并且声明了@JavascriptInterface 的方法才可以被JavaScript代码调用。所以理论上在Android4.1(含)之前的版本上此漏洞会更容易被利用且有更高的危害。但是经过测试发现,有些手机即使系统版本是4.2,仍然可以利用此漏洞,在JavaScript中调用getClass() 方法。
我们需要通过removeJavascriptInterface(该方法在API 11中才有的,需要做判断)显示的删除accessibilityTraversal、accessibility。同时在Android 3.0以下,系统自己添加了一个叫searchBoxJavaBridge_的Js接口,要解决这个安全问题,我们也需要把这个接口删除。

 if (Build.VERSION.SDK_INT >= 11) {
            webView.removeJavascriptInterface("searchBoxJavaBridge_");
            webView.removeJavascriptInterface("accessibility");
            webView.removeJavascriptInterface("accessibilityTraversal");
        }

4、不在js中调用java方法

即不使用addJavascriptInterface 也不使用@SuppressLint({“JavascriptInterface”})。通过url拦截的形式去触发java中的方法

 webView.setWebViewClient(new WebViewClient() {
            @Override
            public boolean shouldOverrideUrlLoading(WebView view, String url) {//此处能拦截超链接的url,即拦截href请求的内容.
                if (url.contains("first_access_share")) {//如果包含“first_access_share”拦截跳转
                    firstAccessShare();//调用对应的方法
                    return true;
                }
                view.loadUrl(url);
                return true;
            }
        });

总结

1、WebView 远程代码执行漏洞 在Android4.2之后得到了一定的修复(有的系统中4.2上还是存在),只有public并且声明了@JavascriptInterface 的方法才可以被JavaScript代码调用。
2、Android4.2以下如果需要在JavaScript代码调用,就需要比较复杂的方法。主要的思路是动态生成一段声明Javascript方法的JS脚本,通过loadUrl来加载它,从而注册到html页面中,这个js中调用prompt方法,通过prompt把JS中的信息传递给java(这些信息应该是我们组合成的一段有意义的文本,可能包含:特定标识,方法名称,参数等),在onJsPrompt方法中,我们去解析传递过来的文本,得到方法名,参数等,再通过反射机制,调用指定的方法,从而调用到Java对象的方法。
3、上述两种情况还是有漏洞需要显示的用 webView.removeJavascriptInterface去掉一些方法searchBoxJavaBridge_、accessibility、accessibilityTraversal
4、最后的方法就是不要在JavaScript中调用java方法,使用url拦截的形式去触发(我的项目中使用的这种方法)

本文参考了一下文章
http://blog.csdn.net/leehong2005/article/details/11808557
http://seclab.safe.baidu.com/2014-10/android-webview-cve-2014-7224.html
http://blog.csdn.net/zhouyongyang621/article/details/47000041

寒生1988
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android WebView远程代码执行漏洞简析
jltxgcy的专栏
02-16 5894
0x00    本文参考Android WebView 远程代码执行漏洞简析。代码地址为,https://github.com/jltxgcy/AppVulnerability/tree/master/WebViewFileDemo。下面我们分析代码。       0x01    首先列出项目工程目录:    MainActivity.java的代码如下:public class MainActi
Android WebView漏洞总结
Venscor技术养成之路
01-08 2128
2015年就了解了这个漏洞,但只是简单的试了一下,时间一久就忘记了。导致16年无任何准备的条件下,给面试官讲这个漏洞都讲不清楚,丢人。最近学习了一下web安全相关的知识,就顺便在看了一下这个老的Webview漏洞。全程几乎没有什么干货,就当做个记录。一、几个老的CVE  CVE-2012-6336:WebView RCE漏洞原型,对于使用了Webview API:addJavaScriptInter
Android Webview历史高危漏洞与攻击面分析
道阻且长,行则将至。
06-03 2080
WebViewAndroid 系统中的原生控件,它是一个基于 webkit 引擎、展现 web 页面的控件,相当于增强版的内置浏览器。现在很多 App 里都内置了 Web 网页(Hybrid App),比如说很多电商平台,淘宝、京东、聚划算等等。Webview 的广泛使用也就导致了其成为攻击者关注的对象,本文将学习、讨论下 Webview 远程代码执行漏洞、跨域访问漏洞及其它攻击面。...
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 896
概述WebView安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
WebView 远程代码执行漏洞浅析
别了高山
09-02 1682
DroidSec转载资料 bydroidsec 1. WebView 远程代码执行漏洞描述 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJava
Android安全检测 - WebView远程代码执行漏洞(CVE-2012-6336)
qq_35993502的博客
09-22 2438
这一章我们来学习“WebView远程代码执行漏洞(CVE-2012-6336)”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 主要引起漏洞的原因是:WebView的addJavascriptInterface方法提供了一个JavaScript调用的Java 对象的接口,Android系统并没有对注册Java 类的方法调用的限制,导致攻击者可以利用反射技术来调用执行其它未注册的类。漏洞影响的Android版本为小于等于Android 4.1.2(API Level 16),在Android版本4.1
关于AndroidWebView远程代码执行漏洞浅析
08-27
主要给大家介绍了关于AndroidWebView远程代码执行漏洞的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
AndroidWebView无法后退和js注入漏洞的解决方案
09-02
对于JavaScript注入漏洞,尤其是在Android 4.2及以下版本,WebView的安全性较低,恶意代码可能通过注入JS来操控应用。为了防止这种情况,开发者应启用WebView的安全设置,例如禁用JavaScript执行,或者使用`WebView....
Android_WebView安全攻防指南2020.pdf
08-11
- **JavaScriptInterface接口**:在Android 4.4之前,系统中的JavaScriptInterface接口可通过反射调用来执行任意代码,这可能导致远程代码执行(RCE)。例如,CVE-2012-6636和CVE-2014-1939就是这类漏洞的实例。 -...
WebView远程代码执行漏洞学习并复现
九天
04-01 7666
一 前言 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebView加入一个JavaScript桥接
Android静态安全检测 -> WebView组件远程代码执行漏洞检测
4lwin博客
06-21 4804
WebView组件远程代码执行漏洞检测 - addJavascriptInterface方法 1. API 继承关系 java.lang.Object android.view.View android.view.ViewGroup android.widget.AbsoluteLayout android.webkit.WebVi
android安全之webview远程代码执行漏洞
pangjl1982的专栏
04-11 1530
【基础知识】     WebviewAndroid用于浏览网页的组件,它的接口函数addJavascriptInterface可以实现网页JS与本地JAVA的交互,但是没有限制已注册JAVA类的方法调用,导致可以利用反射机制调用未注册的其它任何JAVA类。     当Android用户访问恶意网页时,会被迫执行系统命令,如安装木马、盗取敏感数据等。   【漏洞重现】
Android WebView远程执行代码漏洞浅析
fengling59的专栏
12-22 3120
在过去的一段时间里,WebView远程代码执行漏洞可以说是横扫了一大批的Android App,查询Wooyun平台可以得到大致的情况,鉴于很多存在漏洞的App并没有披露,因此WebVeiw远程执行代码漏洞的影响程度会更大。由于Google Android 系统碎片化程度很高,大量的Android系统无法得到及时有效地更新,这个漏洞目前依然在被利用。 本文从WebView的概念开始详细介
安卓WebView中接口隐患(远程代码执行漏洞)与手机挂马利用
09-16 1678
0×00 背景 在androidsdk中封装了webView控件。这个控件主要用开控制的网页浏览。在程序中装载webView控件,可以设置属性(颜色,字体等)。类似PC下directUI的功能。在webView 下有一个非常特殊的接口函数addJavascriptInterface。能实现本地java和js的交互。利用addJavascriptInterface这个接口函数可实现穿透webk
远程命令,代码执行漏洞原理
gl620321的博客
05-09 1600
一.远程系统命令执行 先输入一个网址127.0.0.1 二.远程代码执行
gitHub客户端Desktop的安装使用总结 ---基础篇
热门推荐
bihansheng2010的博客
12-11 6万+
这段时间想把我写的东西上传到github上,所以开始收集资料学习,走了很多弯路( msysgit和极慢的翻墙网速让我欲仙欲死),最后找到了比较好用的工具gitHub desktop。在此做出详细记录
移动应用漏洞案例1
最新发布
08-08
漏洞背景在谷歌2010年发布Android2.2Froyo(冻酸奶)系统中,谷歌引入一个了系统备份的功能,允许用户备份系统应用和第三方应用的apk安装包和应用数

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值