关于 WebView 的安全问题

一张图

有一天，老大和我说，安卓的 webview 有很多漏洞你知不知道？

emmmmm...

作为一个三好公民，我真的从来没有考虑过还会有人攻击我做的 app，不过人心叵测，居安思危，我还是去看了一下所谓的漏洞，在这里做个记录，方便之后使用。

网络上关于 Android WebView 漏洞的文章很多，原理的东西我不太懂，如果需要，可以看看我下面的参考链接，都讲得很细。
这里我只简单记录一下不同版本需要做的处理和注意事项。

1）addJavascriptInterface接口造成的代码任意访问问题

---

API <= 17

出于安全考虑，Google 在 API 17 中规定允许被调用的函数必须以@JavascriptInterface进行注解，理论上如果 APP 依赖的 API 为 17 或者以上，就不会受该问题的影响。但部分机型上，API 17 依然受影响，并且如果 APP 存在此漏洞，且 targetsdk < 17，那漏洞的影响可以覆盖到 android4.4 的终端,如果 targetsdk >= 17 ，那么漏洞只会在低于 android4.2 的机型上触发。相信@JavascriptInterface注解，大多数应用都已经加上了，如果需要适配低版本的系统，可以参考 [1] 中的 js 拦截方法。

2）内置 searchBoxJavaBridge_ 存在远程代码执行漏洞

---

API < 17

具体可以参考 [3]，这个接口在 android4.2 以后已经移除了，如果需要保证 4.2 以及之前的版本安全，需要调用：

webview.removeJavascriptInterface("searchBoxJavaBridge_");

之后又发现了与上面类似的不安全接口，通过下面的代码移除：

//未知 api
removeJavascriptInterface("accessibility");
removeJavascriptInterface("accessibilityTraversal");

3）file 协议 -- WebView域控制不严格漏洞

---

API for all(其实 android4.1 之后下面的值默认为 false)

1. 在不需要读取本地文件的应用中建议设置禁止 Webview 使用 File 协议。

webview.setAllowFileAccess(false);

2. 在不需要通过 file uri 加载的 Javascript 读取其他的本地文件的应用中建议设置禁止权限

webview.setAllowFileAccessFromFileURLs(false);

3. 在不需要通过 file uri 加载的 Javascript 读取其他源的应用中建议设置禁止权限，这里说的源包括其他文件、https、http 等多样的源。如果此设置是允许，则 setAllowFileAccessFromFileURLs 不起做用。

webview.setAllowUniversalAccessFromFileURLs(false);

然而上面 2、3 在 api 16 以上才有，那么对于 api 16 之前的应用或者需要加载本地页面的应用，我们需要下面的代码：

//对于需要使用 file 协议的应用，设置可以白名单或禁止 file 协议加载 JavaScript;
webview.setAllowFileAccess(true);
//这里是白名单控制、
//对于必须使用file URL对http域进行访问时，可对传入的URL路径范围严格控制，
//设置允许访问的URL列表（不要遗漏路径中可能出现的特殊情况如“../../”等，避免限制被绕过）。示例代码如下 ：
webView.setWebViewClient(new WebViewClient(){
      public boolean shouldOverrideUrlLoading(WebView view, String url) {
          if(url.startsWith("xxx")){
              return true;
          }
          if(url.endsWith("xxx")){
              return true;
          }
          if(url.equals("xxx")){
              return true;
          }
          if(url.equalsIgnoreCase("xxx")){
              return true;
          }
          return false;
      }
  });

4）WebView密码明文存储漏洞

---

API for all

WebView默认开启密码保存功能，如果该功能未关闭，在用户输入密码时，会弹出提示框，询问用户是否保存密码，如果选择"是"，密码会被明文保到 /data/data/com.package.name/databases/webview.db
无论如何保存密码到本地都是有安全风险的，因此应谨慎地关闭这个提示框。

mWebView.setSavePassword(false)

---

以上。

感谢：

[1] 在WebView中如何让JS与Java安全地互相调用
[2] WebView 远程代码执行漏洞浅析
[3] 支付宝钱包远程代码执行漏洞
[4] Android安全开发之WebView中的大坑
[5] 关于xxxxx的安全公告