WIKI

8.9 WebView组件系统隐藏接口未移除漏洞

(1)描述

android webview组件包含3个隐藏的系统接口:searchBoxJavaBridge_,accessibilityTraversal以及accessibility,恶意程序可以利用它们实现远程代码执行。

(2)风险等级

低危

(3)影响范围

4.0~4.4(不包含)

(4)检测方法

检测类型:静态分析

使用WebView

==>对应到smali语句中的特征:Landroid/webkit/WebView;->getSettings()Landroid/webkit/WebSettings;

没有移除隐藏接口

==>对应到smali语句中的特征(关键字匹配):

removeJavascriptInterface

searchBoxJavaBridge_

accessibility

accessibilityTraversal

如下:

const-string v3, "searchBoxJavaBridge_"

invoke-virtual {v1, v3}, Landroid/webkit/WebView;->removeJavascriptInterface(Ljava/lang/String;)V

 

const-string v3, "accessibility"

invoke-virtual {v1, v3}, Landroid/webkit/WebView;->removeJavascriptInterface(Ljava/lang/String;)V

 

const-string v3, "accessibilityTraversal"

invoke-virtual {v1, v3}, Landroid/webkit/WebView;->removeJavascriptInterface(Ljava/lang/String;)V

(5)修复建议

如果使用了WebView,那么使用WebView.removeJavascriptInterface(String name) API,显示的移除searchBoxJavaBridge_accessibilityaccessibilityTraversal这三个接口。

(6)参考资料

http://wolfeye.baidu.com/blog/android-webview/

http://blog.csdn.net/u013107656/article/details/51729398

http://wolfeye.baidu.com/blog/android-webview-cve-2014-7224/