Android常见安全风险点之webview使用三方插件风险

当系统辅助功能中的任意一项服务被开启后,所有由系统提供的WebView都会被加入两个JS objects,分别为是”accessibility” 和 “accessibilityTraversal”,如果应用使用了系统的WebView,并且设置了setJavaScriptEnabled(true),那么恶意攻击者就可以使用”accessibility” 和 “accessibilityTraversal” 这两个Java Bridge来执行远程攻击代码。

只要在onPageStarted()方法中调用WebView.removeJavascriptInterface(“accessibility”);WebView.removeJavascriptInterface(“accessibilityTraversal”)方法显示的移除accessibility、accessibilityTraversal。

相关推荐:
android:layout_gravity="center_vertical"
这个漏洞是因为导出service,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意启动或者停止服务,应用会产生拒绝服务等问题。 如果它们只被同一个软件中的代码调用,将service属性改为android:ex …
在manifest文件中加上:<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
HTTPS禁止使用ALLOW_ALL_HOSTNAME_VERIFIER,因为这样会存在中间人攻击的风险。 必须使用STRICT_HOSTNAME_VERIFIER并校验证书,详细修复方案请参照Google官方关于SSL的安全建议:https://developer.android …
在manifest.xml中定义Debuggable项,如果该项被打开,app存在被恶意程序调试的风险,可能导致泄漏敏感信息泄漏等问题。 显示的设置manifest的debuggable标志为false
拿起手机扫一扫即可带走我!