新的Android webview远程代码执行漏洞分析与测试方法

点评:同样是很久前这个漏洞出来(9.29)后自己第一时间写的一篇分析报告,当时影响范围很广,一些系统版本在Android 4.4以下的用户均受到影响,影响的应用包获支付宝钱包,手机QQ,微信以及众多浏览器,但这个漏洞最后还是被评为了中危(CVE-2014-7224),因为它的利用条件略高了些。

漏洞发现者原文链接:https://daoyuan14.github.io/news/newattackvector.html

漏洞原理:

  webview addJavascript接口远程代码执行漏洞最早发现于2012年(CVE-2012-6636,2013年出现新攻击方法(CVE-2013-4710),同时在2014年发现在安卓android/webkit/webview中默认内置的一个searchBoxJavaBridge_ 接口同时存在远程代码执行漏洞(CVE-2014-1939),开发者可以使用removeJavascriptInterface(“searchBoxJavaBridge_”) 方法来移除这个默认接口以确保应用安全。

而前不久,有安全人员发现了两个新的攻击向量(attack vectors )存在于android/webkit/AccessibilityInjector.java中,调用了此组件的应用在开启辅助功能选项中第三方服务的安卓系统中会造成远程代码执行漏洞。这两个接口分别是”accessibility” 和”accessibilityTraversal” ,此漏洞原理与searchBoxJavaBridge_接口远程代码执行相似,均为未移除不安全的默认接口,不过此漏洞需要用户启动系统设置中的第三方辅助服务,利用条件较复杂。

测试方案:

准备一台安卓手机安装talkback.apk(下载地址:http://www.pc6.com/az/76246.html)

开启系统设置中的辅助功能选项:

开启第三方服务后,原本不存在漏洞的APP可以检测出相关漏洞接口:

漏洞案例:

百度网易等数大量安卓应用存在远程代码执行漏洞

http://www.wooyun.org/bugs/wooyun-2014-078617

修复方案:

  如需要使用相关组件,可以调用removeJavascriptInterface(“accessibility”) 和removeJavascriptInterface(“accessibilityTraversal”) 方法移除这两个默认接口;

转载自:http://nickycc.lofter.com/post/23e2a6_29f4fdf

One thought on “新的Android webview远程代码执行漏洞分析与测试方法

Comments are closed.