有一天,老大和我说,安卓的 webview 有很多漏洞你知不知道?
emmmmm...
作为一个三好公民,我真的从来没有考虑过还会有人攻击我做的 app,不过人心叵测,居安思危,我还是去看了一下所谓的漏洞,在这里做个记录,方便之后使用。
网络上关于 Android WebView 漏洞的文章很多,原理的东西我不太懂,如果需要,可以看看我下面的参考链接,都讲得很细。
这里我只简单记录一下不同版本需要做的处理和注意事项。
1)addJavascriptInterface接口造成的代码任意访问问题
API <= 17
出于安全考虑,Google 在 API 17 中规定允许被调用的函数必须以@JavascriptInterface
进行注解,理论上如果 APP 依赖的 API 为 17 或者以上,就不会受该问题的影响。但部分机型上,API 17 依然受影响,并且如果 APP 存在此漏洞,且 targetsdk < 17,那漏洞的影响可以覆盖到 android4.4 的终端,如果 targetsdk >= 17 ,那么漏洞只会在低于 android4.2 的机型上触发。相信@JavascriptInterface
注解,大多数应用都已经加上了,如果需要适配低版本的系统,可以参考 [1] 中的 js 拦截方法。
2)内置 searchBoxJavaBridge_ 存在远程代码执行漏洞
API < 17
具体可以参考 [3],这个接口在 android4.2 以后已经移除了,如果需要保证 4.2 以及之前的版本安全,需要调用:
webview.removeJavascriptInterface("searchBoxJavaBridge_");
之后又发现了与上面类似的不安全接口,通过下面的代码移除:
//未知 api
removeJavascriptInterface("accessibility");
removeJavascriptInterface("accessibilityTraversal");
3)file 协议 -- WebView域控制不严格漏洞
API for all(其实 android4.1 之后下面的值默认为 false)
- 在不需要读取本地文件的应用中建议设置禁止 Webview 使用 File 协议。
webview.setAllowFileAccess(false);
- 在不需要通过 file uri 加载的 Javascript 读取其他的本地文件的应用中建议设置禁止权限
webview.setAllowFileAccessFromFileURLs(false);
- 在不需要通过 file uri 加载的 Javascript 读取其他源的应用中建议设置禁止权限,这里说的源包括其他文件、https、http 等多样的源。如果此设置是允许,则
setAllowFileAccessFromFileURLs
不起做用。
webview.setAllowUniversalAccessFromFileURLs(false);
然而上面 2、3 在 api 16 以上才有,那么对于 api 16 之前的应用或者需要加载本地页面的应用,我们需要下面的代码:
//对于需要使用 file 协议的应用,设置可以白名单或禁止 file 协议加载 JavaScript;
webview.setAllowFileAccess(true);
//这里是白名单控制、
//对于必须使用file URL对http域进行访问时,可对传入的URL路径范围严格控制,
//设置允许访问的URL列表(不要遗漏路径中可能出现的特殊情况如“../../”等,避免限制被绕过)。示例代码如下 :
webView.setWebViewClient(new WebViewClient(){
public boolean shouldOverrideUrlLoading(WebView view, String url) {
if(url.startsWith("xxx")){
return true;
}
if(url.endsWith("xxx")){
return true;
}
if(url.equals("xxx")){
return true;
}
if(url.equalsIgnoreCase("xxx")){
return true;
}
return false;
}
});
4)WebView密码明文存储漏洞
API for all
WebView默认开启密码保存功能,如果该功能未关闭,在用户输入密码时,会弹出提示框,询问用户是否保存密码,如果选择"是",密码会被明文保到 /data/data/com.package.name/databases/webview.db
无论如何保存密码到本地都是有安全风险的,因此应谨慎地关闭这个提示框。
mWebView.setSavePassword(false)
以上。
感谢:
[1] 在WebView中如何让JS与Java安全地互相调用
[2] WebView 远程代码执行漏洞浅析
[3] 支付宝钱包远程代码执行漏洞
[4] Android安全开发之WebView中的大坑
[5] 关于xxxxx的安全公告