新的Android webview远程代码执行漏洞分析与测试方法

点评:同样是很久前这个漏洞出来(9.29)后自己第一时间写的一篇分析报告,当时影响范围很广,一些系统版本在Android 4.4以下的用户均受到影响,影响的应用包获支付宝钱包,手机QQ,微信以及众多浏览器,但这个漏洞最后还是被评为了中危(CVE-2014-7224),因为它的利用条件略高了些。

漏洞发现者原文链接:https://daoyuan14.github.io/news/newattackvector.html

漏洞原理:

  webview addJavascript接口远程代码执行漏洞最早发现于2012年(CVE-2012-6636,2013年出现新攻击方法(CVE-2013-4710),同时在2014年发现在安卓android/webkit/webview中默认内置的一个searchBoxJavaBridge_ 接口同时存在远程代码执行漏洞(CVE-2014-1939),开发者可以使用removeJavascriptInterface(“searchBoxJavaBridge_”) 方法来移除这个默认接口以确保应用安全。UTF8[……]

MORE