android最新跨域漏洞,关于Android平台WebView控件存在跨域高危漏洞的安全公告

待我称王封你为后i 2022-10-16 07:28 174阅读 0赞

原标题：关于Android平台WebView控件存在跨域高危漏洞的安全公告

2017年12月7日，国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞，可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息)，还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台，导致大量APP受影响，构成较为严重的攻击威胁。

![fd31a0dc101156e3378060e24041717c.png][]

一、漏洞情况分析

WebView是Android用于显示网页的控件，是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外，还可对URL请求、页面加载、渲染、页面交互进行处理。

该漏洞产生的原因是在Android应用中，WebView开启了file域访问，允许file域访问http域，且未对file域的路径进行严格限制所致。攻击者通过URL Scheme的方式，可远程打开并加载恶意HTML文件，远程获取APP中包括用户登录凭证在内的所有本地敏感数据。

漏洞触发成功前提条件如下：

1.WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLsAPI配置为true；

2.WebView可以直接被外部调用，并能够加载外部可控的HTML文件。

CNVD对相关漏洞综合评级为“高危”。

二、漏洞影响范围

漏洞影响使用WebView控件，开启file域访问并且未按安全策略开发的Android应用APP。

三、漏洞修复建议 厂商暂未发布解决方案，临时解决方案如下：

1. file域访问为非功能需求时，手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true，需要显式设置为false)