CVE-2013-4710(안드로이드 webview 자바스크립트 인터페이스 취약점)

- 취약점 소개

Android 4.3 이하 환경에서 WebView와 관련된 알려진 취약점이 있습니다. WebView는 개발자가 애플리케이션 내에 웹 콘텐츠를 표시할 수 있도록 하는 Android 시스템의 구성 요소입니다. 주목할만한 취약점 중 하나는 "JavaScript 인터페이스" 문제입니다. Android 4.3 이하에서 JavaScript가 활성화된 WebView를 사용하는 앱은 Java 개체를 WebView에서 실행되는 JavaScript 코드에 노출할 수 있습니다. 앱이 입력을 적절하게 검증 및 삭제하지 않았거나 노출된 Java 개체를 통해 액세스할 수 있는 중요한 정보가 있는 경우 잠재적인 보안 위험이 발생할 수 있습니다.

 

- 취약점 진단

만약 아래와 같은 소스코드를 포함한 webview 소스코드가 있다고 했을때,

public class MyInterface {
    private String sensitiveData = "Confidential information";

    @JavascriptInterface
    public String getSensitiveData() {
        return sensitiveData;
    }
}

@주석은 자바스크립트를 노출하게하여 웹페이지에서 접근할 수 있게합니다. 따라서, webview를 실행하고 앱 화면에서 xss 공격이 가능하게되면

// Malicious JavaScript code injected into the WebView
var sensitiveData = window.MyInterface.getSensitiveData();
console.log(sensitiveData); // Attacker can now access the sensitive data

위와 같은 xss 공격으로 민감한 정보를 빼낼 수 있게됩니다.

 

- 취약점 대응책

안드로이드 4.4이상 버전을 사용합니다.