由于安卓系统的碎片化问题严重,安卓WebView远程代码执行漏洞在各类手机上的情况复杂,各厂商对于安卓WebView远程代码执行漏洞的判断标准也不统一,为避免和白帽子产生沟通问题,360安全漏洞响应中心针对此漏洞发布评定标准,并据此调整奖励。漏洞评定标准:
1. CVE-2012-6636漏洞
1)线上产品在AndroidMainfest.xml声明targetSdkVersion小于17,直接使用系统WebView.addJavascriptInterface,未对该漏洞进行缓解性的安全加固,给予一定奖金奖励。
2)线上产品在AndroidMainfest.xml声明targetSdkVersion大于等于17,minSdkVersion小于17,直接使用系统WebView.addJavascriptInterface,未对该漏洞进行缓解性的安全加固,360安全漏洞响应中心予以一定积分奖励。
3)线上产品在AndroidMainfest.xml声明targetSdkVersion大于等于17,minSdkVersion小于17,在使用系统WebView.addJavascriptInterface时,对该漏洞进行了缓解性的安全加固,360安全漏洞响应中心不予以奖励。
4) 已停止维护更新的产品在AndroidMainfest.xml声明targetSdkVersion大于等于17,minSdkVersion小于17,直接使用系统WebView.addJavascriptInterface,360安全漏洞响应中心不予以奖励。
漏洞说明:安卓APP在编译设置targetSdkVersion大于等于17,minSdkVersion小于17时,手机系统会根据SdkVersion使用相应的api。targetsdkversion大于等于17的安卓app,在安卓4.2系统和4.2以上的系统(sdk≥17),安卓app会使用sdkversion大于等于17的api,因此不存在CVE-2012-6636漏洞。在安卓4.2以下系统(sdk<17),安卓app只能使用sdkversion小于17的api,因此存在cve-2012-6636漏洞,该漏洞属于手机系统漏洞,影响该系统上的所有应用,安卓app无法彻底修复,只能进行缓解性的安全加固。
漏洞参考:https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6636
2.CVE-2014-7224漏洞
安卓系统默认含有“accessibility”和 “accessibilityTraversal”webview漏洞接口,该漏洞属于手机系统漏洞。360产品会对该漏洞进行安全加固,但该漏洞属于该手机系统漏洞,影响该手机上所有应用,如果在某些存在大量系统漏洞的老旧定制系统出现该漏洞,请与手机厂商或手机系统发布者联系,该漏洞360安全漏洞响应中心不予以奖励。
漏洞参考:https://daoyuan14.github.io/news/newattackvector.html
3.CVE-2014-1939漏洞
安卓系统默认含有“searchBoxJavaBridge_ ”webview漏洞接口,该漏洞属于手机系统漏洞。360产品会对该漏洞进行安全加固,但该漏洞属于该手机系统漏洞,影响该手机上所有应用,如果在某些存在大量系统漏洞的老旧定制系统出现该漏洞,请与手机厂商或手机系统发布者联系,该漏洞360安全漏洞响应中心不予以奖励。
漏洞参考:https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1939
4.补充漏洞修复
在某些存在大量系统漏洞的老旧定制系统出现的addJavascriptInterface漏洞,手机相关厂商无法处理,可以安装360手机卫士,并授予root权限,在底层修复addJavascriptInterface漏洞。