CVE-2012-6636 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Android WebView 的 `addJavascriptInterface` 方法权限控制缺失。 💥 **后果**：远程攻击者可利用 Java Reflection API 执行任意 Java 对象方法，导致**任意代码执行**。

🔍 **缺陷点**：程序未正确限制 `WebView.addJavascriptInterface` 的使用。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但核心是**不安全的对象暴露**。

📱 **受影响组件**：Android API。 📅 **影响版本**：**Android API 16.0 及之前版本**。

🕵️ **黑客能力**：通过 Java Reflection API 调用任意 Java 方法。 🔓 **权限/数据**：可获取应用上下文，进而访问敏感数据或执行系统级操作。

🚪 **利用门槛**：**低**。 🌐 **条件**：无需本地认证，远程攻击者即可利用，前提是应用存在漏洞代码。

💻 **现成 Exp**：**有**。 📂 **PoC 链接**：GitHub 项目 `xckevin/AndroidWebviewInjectDemo` 提供了测试该漏洞的 App 演示。

🔎 **自查特征**：检查代码中是否使用了 `WebView.addJavascriptInterface`。 🛠️ **扫描**：静态分析代码，查找未正确封装或暴露给 JS 的 Java 对象。

🛡️ **官方修复**：数据中未提及具体补丁版本，但指出 **16.0 之后**版本修复了此问题。 📜 **参考**：Android 官方文档及厂商安全公告（如 Lenovo）。

⚠️ **临时规避**：若无法升级，应**避免使用** `addJavascriptInterface`。 🔒 **替代方案**：使用 `WebViewClient` 拦截 URL 或采用其他安全的通信机制。

🔥 **优先级**：**高**。 💡 **见解**：这是 Android 历史上著名的 WebView 注入漏洞，影响范围广，建议立即排查旧版本设备或应用。