利用旧版Android漏洞的E-Z-2-Use攻击代码发布利用Android操作系统WebView编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架Metasploit中。

漏洞影响Android 4.2之前的版本,Google在Android 4.2中修正了这个漏洞,但根据官方统计,超过五成用户仍然使用存在漏洞的旧版本。

WebView的漏洞允许攻击者在Android浏览器和其它应用中注入恶意 JavaScript代码, 获得与目标程序相同的访问权限,攻击者可以开启一个shell窗口访问受害者的文件系统、照相机,地理位置数据、SD卡数据和地址簿。漏洞还可通过不安全网络的中间人攻击触发。漏洞存在于Android系统中,而不是私有的 GMS 应用平台,只有更新系统才能修正漏洞。

安全研究人员Tod Beardsley希望,攻击代码的披露能迫使供应商尽快升级系统。

漏洞利用测试

msf>useexploit/android/browser/webview_addjavascriptinterfacemsfexploit(webview_addjavascriptinterface)>showtargets...targets...msfexploit(webview_addjavascriptinterface)>setTARGET<target-id>msfexploit(webview_addjavascriptinterface)>showoptions...showandsetoptions...msfexploit(webview_addjavascriptinterface)>exploit

相关资料

  • URL: http://blog.trustlook.com/2013/09/04/alert-android-webview-addjavascriptinterface-code-execution-vulnerability/

  • URL: https://labs.mwrinfosecurity.com/blog/2012/04/23/adventures-with-android-webviews/

  • URL: http://50.56.33.56/blog/?p=314

  • URL: https://labs.mwrinfosecurity.com/advisories/2013/09/24/webview-addjavascriptinterface-remote-code-execution/

  • URL: https://github.com/mwrlabs/drozer/blob/bcadf5c3fd08c4becf84ed34302a41d7b5e9db63/src/drozer/modules/exploit/mitm/addJavaScriptInterface.py

更多相关文章

  1. NoScript For Android发布
  2. Android(安卓)利用Fiddler进行网络数据抓包
  3. 在Android中利用iText生成PDF
  4. 利用Eclipse打包混淆时报:Conversion to Dalvik format failed wi
  5. Android中利用icodetools工具快速定位App破解中关键点方法
  6. Android中的防缓冲区溢出技术
  7. 利用 Python 进行多 Sheet 表合并、多工作簿合并、一表按列拆分
  8. Android编程开发之在Canvas中利用Path绘制基本图形(圆形,矩形,椭
  9. 利用android sdk 下的adb程序捕获手机log日志

随机推荐

  1. 从头构建android 本地C++语言可执行程序
  2. android 物理按键
  3. android,handler实现两个线程通信
  4. Android 开发技术周报 Issue#281
  5. Android - 常见错误的解决方法
  6. Android深入浅出系列课程---Lesson7 LLY1
  7. 那些年,在Fragment中犯的错
  8. Android 中 PopupWindow的用法 汇总 Andr
  9. 一个APK反编译利器Apktool(android汉化)
  10. Android Google Map实例 - 发布Android G