Android安全编码

Posted 2020-11-09 endian11

• WebView远程代码执行
  • 在API16（android 4.2 ）及之前的系统上，如果使用WebView.addjavascriptInterface方法来实现通过JavaScript调用应用本地java接口时，由于系统没有对注册的Java类方法调用做任何限制，导致攻击者可以通过使用Java反射API调用该漏洞来执行任意java对象的方法，从而达到攻击的目的。在JavaScript中注入java对象injectedObject的漏洞代码如下：

      WebView webView = new WebView(this);
            webView.getSettings().setJavaScriptEnabled(true);
            webView.addJavascriptInterface(this,"injectedObject");
            webView.loadUrl("http://www.asce1885.com/index.html");
    

  • 攻击者html页面如下，可以获得getRuntime方法，从而执行一系列shell命令，为所欲为：

    <!DOCTYPE html>
    <html lang="en">
    <head>
        <meta charset="UTF-8">
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
        <script type="text/javascript">
            function execute(cmdArgs) {
                return injectedObject.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
            }
        </script>
        <title>Title</title>
    </head>
    <body>
    
    </body>
    </html>
    

 

• 该漏洞的解决方案如下：
  • api>16 .android给出的解决方案 在Java类的方法上使用@JavascriptInterface注解
  • api<=16 强烈建议不要再使用addJavascriptInterface接口，转而使用safe-java-js-webview-bridge这个函数库
  • 移除Android系统内部的如下默认接口（这个搞不明白）