登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于Android WebView组件存在远程代码执行漏洞的情况通报

2013-09-06 16:51:34
安全公告编号:CNTA-2013-0025

近期,我中心主办的国家信息安全漏洞共享平台收录了Android WebView组件存在一个远程命令执行漏洞(编号:CNVD-2013-12829)。攻击者可利用漏洞发起面向Android终端用户的挂马攻击,进而构成用户隐私信息窃、远程控制等威胁。现将有关情况通报如下:

一、漏洞分析情况

AndroidSDK中提供了一个WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。基于该组件开发的APP软件通常会调用WebView组件中的addJavascriptInterface方法用于实现本地Java和JavaScript的交互。但是在交互过程中,addJavascriptInterface方法提供了程序执行本地代码的接口,JavaScript脚本可通过此接口执行任意Java代码(含操作系统指令)。

攻击者可通过构造特定HTML页面,嵌入恶意程序代码。当Android终端用户访问上述页面时,即可达到与PC终端上类似的挂马攻击目的。

二、漏洞影响范围

此前,Android操作系统开发方谷歌(Google)公司已经阐述了使用addJavascriptInterface方法开发的APP软件会存在所述安全风险,但许多Android应用开发者并未在产品中采取有针对性的技术防范措施。根据国内漏洞报送者近期的报送情况,国内许多浏览器、微博、微信等拥有较大用户群体的知名APP软件均受到漏洞的影响。

三、应对措施建议

为有效应对潜在的大规模攻击威胁,CNCERT建议如下针对措施:

(一)APP应用开发者应确保只在访问可信页面数据时才使用addjavascriptInterface方法。例如,使用WebViewClient中的shouldOverrideUrlLoading方法来对加载的页面URL进行检查,避免执行恶意操作。对于开发在Android 4.2系统下运行的应用时,使用JavascriptInterface方法代替addjavascriptInterface方法;

(二)Android终端用户需及时关注Android应用的更新情况,尽快升级到最新版本。在厂商修补前,用户应尽量避免访问不可信的网页和邮件。

CNCERT将继续跟踪事件后续情况,密切监测互联网上的关联攻击情况。如有问题请联系CNCERT。电子邮箱:cncert@cert.org.cn,联系电话:010-82990999。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2013-12829

(注:CNVD成员单位——绿盟科技公司、恒安嘉新公司、启明星辰公司协助对风险情况进行了较为深入的分析;CNVD合作伙伴——WOOYUN网站提供了部分漏洞影响实例信息)

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论