|
这一章我们来学习“WebView远程代码执行漏洞(CVE-2012-6336)”,了解这个漏洞发生的原因及其应对的方法。
一、漏洞原理
主要引起漏洞的原因是:WebView的addJavascriptInterface方法提供了一个JavaScript调用的Java 对象的接口,Android系统并没有对注册Java 类的方法调用进行限制,导致攻击者可以利用反射技术来调用执行其它未注册的类。漏洞影响的Android版本为小于等于Android 4.1.2(API Level 16),在Android版本4.1.2以上(不含4.1.2)使用了@JavascriptInterface注解,在JS中只能访问 @JavascriptInterface注解的函数。(对于使用了Webview API:addJavaScriptInterface()的Webview,会向网页中的js导出一个Object。在JS中,可以利用这个Object和本地App的Java代码通信。由于Java支持反射,导致在JS代码中,可以利用这个导出的Object来反射调用本地代码,从而导致了任意代码执行。即JavaScript的网页可以利用App具有的权限执行任意代码。Google Android <= 4.1.2 (API level 16) 受到此漏洞的影响)。
二、检测手段
主要采取静态代码扫描加人工复核的方式(纯代码扫描会存在误报)。
检测方法:
step1:在代码内全局搜素WebView.addJavascriptInterface,并记录位置
step2:人工复核静态扫描结果(复核的方法在修复方法中说明)
step3:汇总结果
三、修复方法
1、将最小兼容版本(minSdkVersion)大于等于17,此漏洞则不存在风险。
2、在Android版本小于17中使用,不使用addJavascriptInterface方法,若要实现JavaScript调用java对象的功能,可以拦截prompt方法来实现此功能,以此来规避漏洞。并使用removeJavascriptInterface方法移除searchBoxJavaBridge_ 、accessibility、accessibilityTraversal接口
3、如果一定要使用addJavascriptInterface接口,在保证URL来源可靠的情况下:
??? a. 如果使用HTTPS协议来加载URL,应进行证书校验
??? b. 如果使用HTTP协议加载URL,应进行白名单过滤、完整性校验等防止访问的页面被篡改
??? c. 如果加载本地html,应将html内置到app中,并且对html进行完整性的校验
注:
1、Webview系统隐藏接口漏洞和WebView远程代码执行漏洞最终产生漏洞的原理差不多,都是由于addJavascriptInterface方法引起的漏洞。
2、Webview系统隐藏接口漏洞:Android系统内部的默认内置接口searchBoxJavaBridge_ 、accessibility、accessibilityTraversal。相当于使用了addJavascriptInterface注册了这些接口。
3、由于有些手机即使系统版本是4.2,仍然可以利用此漏洞,所以建议在使用WebView的过程中移除这些接口(使用removeJavascriptInterface方法移除searchBoxJavaBridge_ 、accessibility、accessibilityTraversal接口)。
asjhan for Android reverse
|