关于 WebView 的安全问题

一张图

有一天,老大和我说,安卓的 webview 有很多漏洞你知不知道?

emmmmm...

作为一个三好公民,我真的从来没有考虑过还会有人攻击我做的 app,不过人心叵测,居安思危,我还是去看了一下所谓的漏洞,在这里做个记录,方便之后使用。

网络上关于 Android WebView 漏洞的文章很多,原理的东西我不太懂,如果需要,可以看看我下面的参考链接,都讲得很细。
这里我只简单记录一下不同版本需要做的处理和注意事项。

1)addJavascriptInterface接口造成的代码任意访问问题


API <= 17

出于安全考虑,Google 在 API 17 中规定允许被调用的函数必须以@JavascriptInterface进行注解,理论上如果 APP 依赖的 API 为 17 或者以上,就不会受该问题的影响。但部分机型上,API 17 依然受影响,并且如果 APP 存在此漏洞,且 targetsdk < 17,那漏洞的影响可以覆盖到 android4.4 的终端,如果 targetsdk >= 17 ,那么漏洞只会在低于 android4.2 的机型上触发。相信@JavascriptInterface注解,大多数应用都已经加上了,如果需要适配低版本的系统,可以参考 [1] 中的 js 拦截方法。

2)内置 searchBoxJavaBridge_ 存在远程代码执行漏洞

API < 17

具体可以参考 [3],这个接口在 android4.2 以后已经移除了,如果需要保证 4.2 以及之前的版本安全,需要调用:

webview.removeJavascriptInterface("searchBoxJavaBridge_");

之后又发现了与上面类似的不安全接口,通过下面的代码移除:

//未知 api
removeJavascriptInterface("accessibility");
removeJavascriptInterface("accessibilityTraversal");
3)file 协议 -- WebView域控制不严格漏洞

API for all(其实 android4.1 之后下面的值默认为 false)

  1. 在不需要读取本地文件的应用中建议设置禁止 Webview 使用 File 协议。
webview.setAllowFileAccess(false);
  1. 在不需要通过 file uri 加载的 Javascript 读取其他的本地文件的应用中建议设置禁止权限
webview.setAllowFileAccessFromFileURLs(false);
  1. 在不需要通过 file uri 加载的 Javascript 读取其他源的应用中建议设置禁止权限,这里说的源包括其他文件、https、http 等多样的源。如果此设置是允许,则 setAllowFileAccessFromFileURLs 不起做用。
webview.setAllowUniversalAccessFromFileURLs(false);

然而上面 2、3 在 api 16 以上才有,那么对于 api 16 之前的应用或者需要加载本地页面的应用,我们需要下面的代码:

//对于需要使用 file 协议的应用,设置可以白名单或禁止 file 协议加载 JavaScript;
webview.setAllowFileAccess(true);
//这里是白名单控制、
//对于必须使用file URL对http域进行访问时,可对传入的URL路径范围严格控制,
//设置允许访问的URL列表(不要遗漏路径中可能出现的特殊情况如“../../”等,避免限制被绕过)。示例代码如下 :
webView.setWebViewClient(new WebViewClient(){
      public boolean shouldOverrideUrlLoading(WebView view, String url) {
          if(url.startsWith("xxx")){
              return true;
          }
          if(url.endsWith("xxx")){
              return true;
          }
          if(url.equals("xxx")){
              return true;
          }
          if(url.equalsIgnoreCase("xxx")){
              return true;
          }
          return false;
      }
  });
4)WebView密码明文存储漏洞

API for all

WebView默认开启密码保存功能,如果该功能未关闭,在用户输入密码时,会弹出提示框,询问用户是否保存密码,如果选择"是",密码会被明文保到 /data/data/com.package.name/databases/webview.db
无论如何保存密码到本地都是有安全风险的,因此应谨慎地关闭这个提示框。

mWebView.setSavePassword(false)

以上。

感谢:

[1] 在WebView中如何让JS与Java安全地互相调用
[2] WebView 远程代码执行漏洞浅析
[3] 支付宝钱包远程代码执行漏洞
[4] Android安全开发之WebView中的大坑
[5] 关于xxxxx的安全公告

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,126评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,254评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,445评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,185评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,178评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,970评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,276评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,927评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,400评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,883评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,997评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,646评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,213评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,204评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,423评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,423评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,722评论 2 345