WebView组件漏洞自动化检测与验证方法

摘要

Android系统WebView组件应用广泛,相关漏洞危害大、影响广,但依赖静态匹配敏感函数的检测方法存在误报率高等问题.为降低误报率,本文针对WebView组件漏洞特点,提出了一种静态分析与动态验证相结合的检测方法,并实现了原型工具XWebViewDigger.通过对漏洞可疑点进行可达性分析,避免对无效路径动态分析;将数据依赖分析与模拟真实攻击行为的动态验证相结合,实现触发漏洞并判断其真实性,进而降低误报率.利用XWebViewDigger,检测了80个Android应用,成功发现18个应用存在漏洞,经确认未产生误报.