Trickest

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools.

Get access

Webview napadi

Reading time: 5 minutes

Vodič o WebView konfiguracijama i bezbednosti

Pregled WebView ranjivosti

Kritičan aspekt Android razvoja uključuje pravilno rukovanje WebView-ima. Ovaj vodič ističe ključne konfiguracije i bezbednosne prakse za smanjenje rizika povezanih sa korišćenjem WebView-a.

Pristup datotekama u WebView-ima

Po defaultu, WebView-ima je dozvoljen pristup datotekama. Ova funkcionalnost se kontroliše metodom setAllowFileAccess(), dostupnom od Android API nivoa 3 (Cupcake 1.5). Aplikacije sa dozvolom android.permission.READ_EXTERNAL_STORAGE mogu čitati datoteke sa spoljnog skladišta koristeći URL šemu datoteke (file://path/to/file).

Zastarjele funkcije: Univerzalni i pristup datotekama sa URL-ova

• Univerzalni pristup sa URL-ova datoteka: Ova zastarela funkcija je omogućavala cross-origin zahteve sa URL-ova datoteka, predstavljajući značajan bezbednosni rizik zbog potencijalnih XSS napada. Podrazumevana postavka je onemogućena (false) za aplikacije koje cilјaju Android Jelly Bean i novije.
• Da biste proverili ovu postavku, koristite getAllowUniversalAccessFromFileURLs().
• Da biste izmenili ovu postavku, koristite setAllowUniversalAccessFromFileURLs(boolean).
• Pristup datotekama sa URL-ova datoteka: Ova funkcija, takođe zastarela, kontrolisala je pristup sadržaju sa drugih URL-ova šeme datoteka. Kao i univerzalni pristup, njena podrazumevana postavka je onemogućena radi poboljšane bezbednosti.
• Koristite getAllowFileAccessFromFileURLs() za proveru i setAllowFileAccessFromFileURLs(boolean) za postavljanje.

Sigurno učitavanje datoteka

Za onemogućavanje pristupa sistemu datoteka dok se i dalje pristupa resursima i sredstvima, koristi se metoda setAllowFileAccess(). Sa Android R i novijim, podrazumevana postavka je false.

• Proverite sa getAllowFileAccess().
• Omogućite ili onemogućite sa setAllowFileAccess(boolean).

WebViewAssetLoader

Klasa WebViewAssetLoader je savremeni pristup za učitavanje lokalnih datoteka. Koristi http(s) URL-ove za pristup lokalnim sredstvima i resursima, usklađujući se sa politikom iste porekla, čime se olakšava upravljanje CORS-om.

loadUrl

Ovo je uobičajena funkcija koja se koristi za učitavanje proizvoljnih URL-ova u webview:

webview.loadUrl("<url here>")

Ofc, potencijalni napadač nikada ne bi trebao moći da kontroliše URL koji aplikacija učitava.

JavaScript i upravljanje Intent shemama

• JavaScript: Onemogućen po defaultu u WebView-ima, može se omogućiti putem setJavaScriptEnabled(). Preporučuje se oprez jer omogućavanje JavaScripta bez odgovarajućih zaštita može uvesti sigurnosne ranjivosti.
• Intent shema: WebView-i mogu obraditi intent shemu, što može dovesti do eksploatacija ako se ne upravlja pažljivo. Jedna ranjivost uključivala je izloženi WebView parametar "support_url" koji se mogao iskoristiti za izvršavanje napada skriptiranja između sajtova (XSS).

Primer eksploatacije koristeći adb:

adb.exe shell am start -n com.tmh.vulnwebview/.SupportWebView –es support_url "https://example.com/xss.html"

Javascript Bridge

Funkcija koju pruža Android omogućava JavaScript u WebView-u da poziva nativne Android aplikacione funkcije. To se postiže korišćenjem addJavascriptInterface metode, koja integriše JavaScript sa nativnim Android funkcionalnostima, nazvanim WebView JavaScript bridge. Preporučuje se oprez jer ova metoda omogućava svim stranicama unutar WebView-a da pristupe registrovanom JavaScript Interface objektu, što predstavlja bezbednosni rizik ako se osetljive informacije izlože putem ovih interfejsa.

• Ekstremni oprez je potreban za aplikacije koje cilјaju Android verzije ispod 4.2 zbog ranjivosti koja omogućava dalјinsko izvršavanje koda putem zlonamernog JavaScript-a, koristeći refleksiju.

Implementacija JavaScript Bridge-a

• JavaScript interfejsi mogu interagovati sa nativnim kodom, kao što je prikazano u primerima gde je metoda klase izložena JavaScript-u:

@JavascriptInterface
public String getSecret() {
return "SuperSecretPassword";
};

• JavaScript Bridge se omogućava dodavanjem interfejsa u WebView:

webView.addJavascriptInterface(new JavascriptBridge(), "javascriptBridge")
webView.reload()

• Potencijalna eksploatacija putem JavaScript-a, na primer, putem XSS napada, omogućava pozivanje izloženih Java metoda:

<script>
alert(javascriptBridge.getSecret())
</script>

• Da biste smanjili rizike, ograničite korišćenje JavaScript mosta na kod koji je isporučen sa APK-om i sprečite učitavanje JavaScript-a iz udaljenih izvora. Za starije uređaje, postavite minimalni API nivo na 17.

Izvršenje daljinskog koda zasnovano na refleksiji (RCE)

• Dokumentovana metoda omogućava postizanje RCE putem refleksije izvršavanjem specifičnog payload-a. Međutim, @JavascriptInterface anotacija sprečava neovlašćen pristup metodama, ograničavajući površinu napada.

Daljinsko debagovanje

• Daljinsko debagovanje je moguće sa Chrome Developer Tools, omogućavajući interakciju i proizvoljno izvršavanje JavaScript-a unutar WebView sadržaja.

Omogućavanje daljinskog debagovanja

• Daljinsko debagovanje može biti omogućeno za sve WebView-ove unutar aplikacije na sledeći način:

if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
WebView.setWebContentsDebuggingEnabled(true);
}

• Da uslovno omogućite debagovanje na osnovu stanja debagovanja aplikacije:

if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
if (0 != (getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE))
{ WebView.setWebContentsDebuggingEnabled(true); }
}

Ekstrakcija proizvoljnih fajlova

• Prikazuje ekstrakciju proizvoljnih fajlova koristeći XMLHttpRequest:

var xhr = new XMLHttpRequest()
xhr.onreadystatechange = function () {
if (xhr.readyState == XMLHttpRequest.DONE) {
alert(xhr.responseText)
}
}
xhr.open(
"GET",
"file:///data/data/com.authenticationfailure.wheresmybrowser/databases/super_secret.db",
true
)
xhr.send(null)

Reference

• https://labs.integrity.pt/articles/review-android-webviews-fileaccess-attack-vectors/index.html
• https://github.com/authenticationfailure/WheresMyBrowser.Android
• https://developer.android.com/reference/android/webkit/WebView
• https://medium.com/@justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1
• https://www.justmobilesec.com/en/blog/deep-links-webviews-exploitations-part-I