Android WebView高风险问题解决

A.WebView跨域访问漏洞：

在Android应用中，WebView开启了file域访问，允许file域访问http域，且未对file域的路径进行严格限制。攻击者通过URL Scheme的方式，可远程打开并加载恶意HTML文件，远程获取用户隐私数据（包括手机应用数据、照片、文档等敏感信息），还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。

1. 若file域访问为非功能需求时，手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。（Android4.1版本之前这两个API默认是true，需要显式设置为false）

WebView.getSettings.setAllowFileAccessFromFileURLs(false);
WebView.getSettings.setAllowUniversalAccessFromFileURLs(false);

2. 若需要开启file域访问，则设置file路径的白名单，严格控制file域的访问范围，具体如下：
   1)固定不变的HTML文件可以放在assets或res目录下，file:///android_asset和file:///android_res在不开启API的情况下也可以访问。
   2)可能会更新的HTML文件放在/data/data/(app) 目录下，避免被第三方替换或修改。
   3)对file域请求做白名单限制时，需要对"../../"特殊情况进行处理，避免白名单被绕过。
3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。

B.有风险的WebView系统隐藏接口漏洞

根据CVE披露的WebView远程代码执行漏洞信息（CVE-2012-663、CVE-2014-7224），Android系统中存在一共三个有远程代码执行漏洞的隐藏接口。分别是位于android/webkit/webview中的"searchBoxJavaBridge"接口、android/webkit/AccessibilityInjector.java中的"accessibility"接口和"accessibilityTraversal"接口。调用此三个接口的APP在开启辅助功能选项中第三方服务的Android系统上将面临远程代码执行漏洞。

开发者自查，如果使用了WebView，那么使用WebView.removeJavascriptInterface(String name)API时，显示的移除searchBoxJavaBridge_、accessibility、accessibilityTraversal这三个接口。

WebView.removeJavascriptInterface("searchBoxJavaBridge_");
WebView.removeJavascriptInterface("accessibility");
WebView.removeJavascriptInterface("accessibilityTraversal");

C.WebView File域同源策略绕过风险检测

应用程序一旦使用WebView，同时支持File域，并打开了对JavaScript的支持，就能利用JavaScript的延时执行，绕过File协议的同源检查，并能够访问应用程序的私有文件，导致敏感信息泄露。

1.对于不需要使用File协议的应用，禁用File协议，显式设置WebView.getSettings().setAllowFileAccess(false)

WebView.getSettings().setAllowFileAccess(false);

2.对于需要使用File协议的应用，禁止File协议调用JavaScript，显式设置WebView.getSettings().setJavaScriptEnabled(false)

WebView.getSettings().setJavaScriptEnabled(false);