Groww Android 应用 WebView URL 处理漏洞及客户端锁绕过分析 (CVE-2025-5154)

漏洞概述 漏洞名称: Groww Android Application – Unsafe WebView URL Handling & Weak Client-Side App Lock Enforcement CVE ID: CVE-2025-5154, CVE-2025-6748, CVE-2026-5682 描述: 在安全测试中发现，Groww Android 应用中的内部 WebView 活动在被从特权 ADB/debug 环境调用时，会加载任意外部 URL。该活动允许在应用 WebView 内渲染外部控制的内容，并成功执行 JavaScript 和与外部基础设施进行出站通信。此外，客户端应用锁的弱执行允许在无需重新验证密码的情况下导航到应用界面的部分。 影响范围 受影响组件: - 内部 WebView 活动 - 客户端应用锁验证 安全影响: - 在特权调试/ADB 环境下，观察到以下行为： - 应用 WebView 内渲染任意外部 URL - 在受信任的应用程序上下文中执行 JavaScript - 与外部基础设施进行出站通信 - 本地应用锁/密码验证的弱执行 潜在安全影响: - UI 重定向 - 钓鱼式滥用 - 在受信任的应用程序上下文中进行用户欺骗 攻击要求: - 物理或调试访问设备 - ADB 启用环境 - 现有认证用户会话 修复方案 建议: - 限制 WebView URL 加载到受信任的白名单域名 - 在访问敏感应用流之前强制执行密码验证 - 强化内部活动导航验证 - 减少生产构建中的调试行为暴露 概念验证 (POC) 1. 启动内部 WebView 活动 观察: 应用程序导航到内部 UI 流，而无需触发应用锁重新验证。 2. 任意 WebView URL 加载 观察: 外部控制的内容成功渲染在应用 WebView 内。 3. JavaScript 执行与外部通信 - 加载了一个受控演示页面到 WebView 内。 - 页面执行 JavaScript 并传输非敏感用户提供的输入到外部控制的端点。 - 观察到的请求头: - 这确认了从应用 WebView 上下文出站的通信。 根本原因 对外部提供的 WebView URL 验证不足 活动转换之间的弱客户端应用锁执行 特权调试条件下的内部活动行为可访问 严重性评估 严重性: 低 该问题在标准移动威胁模型下被认为是低严重性，原因如下： - 需要特权/ADB 访问 - 未证明外部可触发的攻击路径 - 未识别服务器端身份验证绕过 - 未观察到直接账户妥协 披露时间线 漏洞报告给供应商 供应商审查并重现了行为 供应商将问题分类为需要特权/ADB 访问，并且不在标准威胁模型之外 概念验证视频 Google Drive PoC: 链接 致谢 研究员: Soyan Arya, "ethical hacker and security researcher" 别名: honest_corrupt 角色: Ethical Hacker 免责声明 本研究是在受控测试环境中进行的，仅用于教育、防御和安全研究目的。 没有使用真实用户凭证、财务信息或敏感用户数据，测试期间未目标、访问或收集这些数据。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Groww Android 应用 WebView URL 处理漏洞及客户端锁绕过分析 (CVE-2025-5154)

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Groww Android 应用 WebView URL 处理漏洞及客户端锁绕过分析 (CVE-2025-5154)

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！