0x00 漏洞介绍

2017年12月7日，国家信息安全漏洞共享平台（CNVD）接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞，可远程获取用户隐私数据（包括手机应用数据、照片、文档等敏感信息），还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台，导致大量APP受影响，构成较为严重的攻击威胁。

0x01 漏洞情况分析

WebView是Android用于显示网页的控件，是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外，还可对URL请求、页面加载、渲染、页面交互进行处理。
该漏洞产生的原因是在Android应用中，WebView开启了file域访问，且允许file域对http域进行访问，同时未对file域的路径进行严格限制所致。攻击者通过URL Scheme的方式，可远程打开并加载恶意HTML文件，远程获取APP中包括用户登录凭证在内的所有本地敏感数据。

漏洞触发成功前提条件如下

WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLs API配置为true；
WebView可以直接被外部调用，并能够加载外部可控的HTML文件。

CNVD对相关漏洞综合评级为“高危”。

0x02 漏洞影响范围

漏洞影响使用WebView控件，开启file域访问并且未按安全策略开发的Android应用APP。

0x03 漏洞修复建议

厂商暂未发布解决方案，临时解决方案如下：

file域访问为非功能需求时，手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。（Android 4.1版本之前这两个API默认是true，需要显式设置为false）
若需要开启file域访问，则设置file路径的白名单，严格控制file域的访问范围，具体如下：

（1）固定不变的HTML文件可以放在assets或res目录下，[file:///android_asset](file:///android_asset)和[file:///android_res](file:///android_res) 在不开启API的情况下也可以访问；

（2）可能会更新的HTML文件放在/data/data/(app) 目录下，避免被第三方替换或修改；

（3）对file域请求做白名单限制时，需要对“../../”特殊情况进行处理，避免白名单被绕过。
避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。
建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息（如IMEI、IMSI、Android_id等）作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。

0x04 检测

360显微镜提供免费检测服务

360显危镜
http://appscan.360.cn/tool/

代码POC暂时未发现

0x05 参考

http://www.cert.org.cn/publish/main/9/2018/20180110150038371847893/20180110150038371847893_.html

http://blog.knownsec.com/2013/03/attack-your-android-apps-by-webview/

http://mp.weixin.qq.com/s/0fkUX5MC9frcisgfAGN48w

“应用克隆” Android平台WebView控件存在跨域访问高危漏洞（CNVD-2017-36682）