1. WebView 遠程代碼執(zhí)行漏洞描述

創(chuàng)新互聯(lián)公司不只是一家網(wǎng)站建設的網(wǎng)絡公司；我們對營銷、技術、服務都有自己獨特見解，公司采取“創(chuàng)意+綜合+營銷”一體化的方式為您提供更專業(yè)的服務！我們經(jīng)歷的每一步也許不一定是最完美的，但每一步都有值得深思的意義。我們珍視每一份信任，關注我們的成都網(wǎng)站建設、做網(wǎng)站質(zhì)量和服務品質(zhì)，在得到用戶滿意的同時，也能得到同行業(yè)的專業(yè)認可，能夠為行業(yè)創(chuàng)新發(fā)展助力。未來將繼續(xù)專注于技術創(chuàng)新，服務升級，滿足企業(yè)一站式營銷型網(wǎng)站需求，讓再小的品牌網(wǎng)站制作也能產(chǎn)生價值！

      Android API level 16以及之前的版本存在遠程代碼執(zhí)行安全漏洞，該漏洞源于程序沒有正確限制使用WebView.addJavascriptInterface方法，遠程攻擊者可通過使用Java Reflection API利用該漏洞執(zhí)行任意Java對象的方法，簡單的說就是通過addJavascriptInterface給WebView加入一個JavaScript橋接接口，JavaScript通過調(diào)用這個接口可以直接操作本地的JAVA接口。該漏洞最早公布于CVE-2012-6636【1】，其描述了WebView中addJavascriptInterface API導致的遠程代碼執(zhí)行安全漏洞。

      該漏洞公布的近期，多款Android流行應用曾被曝出高危掛馬漏洞：點擊消息或朋友社區(qū)圈中的一條網(wǎng)址時，用戶手機然后就會自動執(zhí)行被掛馬的代碼指令，從而導致被安裝惡意扣費軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取以及被遠程控制等嚴重后果。在烏云漏洞平臺上，包括Android版的微信、QQ、騰訊微博、QQ瀏覽器、快播、百度瀏覽器、金山瀏覽器等大批TOP應用均被曝光同類型的漏洞。

      論文Attacks on WebView in the Android System【2】中指出可以利用所導出的讀寫文件接口來進行文件的讀寫操作，攻擊者可以通過中間人攻擊篡改Webview所顯示的頁面來達到對手機文件系統(tǒng)的控制。

2. WebView 遠程代碼執(zhí)行影響范圍

      Android API level 小于17 (即Android 4.2之前的系統(tǒng)版本)

3.WebView 遠程代碼執(zhí)行漏洞詳情

1) WebView 遠程代碼執(zhí)行漏洞位置:

      WebView.addJavascriptInterface(Object obj, String interfaceName)

2)WebView 遠程代碼執(zhí)行漏洞觸發(fā)前提條件：

      使用addJavascriptInterface方法注冊可供JavaScript調(diào)用的Java對象；

      使用WebView加載外部網(wǎng)頁或者本地網(wǎng)頁；

      Android系統(tǒng)版本低于4.2；

3) WebView 遠程代碼執(zhí)行漏洞原理：

      Android系統(tǒng)通過WebView.addJavascriptInterface方法注冊可供JavaScript調(diào)用的Java對象，以用于增強JavaScript的功能。但是系統(tǒng)并沒有對注冊Java類的方法調(diào)用的限制。導致攻擊者可以利用反射機制調(diào)用未注冊的其它任何Java類，最終導致JavaScript能力的無限增強。攻擊者利用該漏洞可以根據(jù)客戶端能力為所欲為。

4. WebView 遠程代碼執(zhí)行漏洞POC

      1) 利用addJavascriptInterface方法注冊可供JavaScript調(diào)用的java對象 “injectedObj”，利用反射機制調(diào)用Android API sendTextMessage來發(fā)送短信。

      java代碼：

mWebView = new WebView(this);
mWebView.getSettings().setJavaScriptEnabled(true);
mWebView.addJavascriptInterface(this, "injectedObj");
mWebView.loadUrl(file:///android_asset/www/index.html);

本文標題：關于Android中WebView遠程代碼執(zhí)行漏洞淺析-創(chuàng)新互聯(lián)
分享網(wǎng)址：http://weahome.cn/article/ihddc.html