mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-21 02:23:30 +00:00
156 lines
9.4 KiB
Markdown
156 lines
9.4 KiB
Markdown
|
# Webview Attacks
|
|||
|
|
|||
|
{% hint style="success" %}
|
|||
|
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
|||
|
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
|||
|
|
|||
|
<details>
|
|||
|
|
|||
|
<summary>Support HackTricks</summary>
|
|||
|
|
|||
|
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
|
|||
|
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
|||
|
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
|
|||
|
|
|||
|
</details>
|
|||
|
{% endhint %}
|
|||
|
|
|||
|
## Guia sobre Configurações e Segurança do WebView
|
|||
|
|
|||
|
### Visão Geral das Vulnerabilidades do WebView
|
|||
|
|
|||
|
Um aspecto crítico do desenvolvimento Android envolve o manuseio correto dos WebViews. Este guia destaca configurações chave e práticas de segurança para mitigar riscos associados ao uso do WebView.
|
|||
|
|
|||
|
![WebView Example](<../../.gitbook/assets/image (1190).png>)
|
|||
|
|
|||
|
### **Acesso a Arquivos em WebViews**
|
|||
|
|
|||
|
Por padrão, os WebViews permitem acesso a arquivos. Essa funcionalidade é controlada pelo método `setAllowFileAccess()`, disponível desde o nível de API 3 do Android (Cupcake 1.5). Aplicativos com a permissão **android.permission.READ\_EXTERNAL\_STORAGE** podem ler arquivos do armazenamento externo usando um esquema de URL de arquivo (`file://path/to/file`).
|
|||
|
|
|||
|
#### **Recursos Obsoletos: Acesso Universal e Acesso a Arquivos de URLs**
|
|||
|
|
|||
|
* **Acesso Universal de URLs de Arquivo**: Este recurso obsoleto permitia solicitações de origem cruzada de URLs de arquivo, representando um risco significativo de segurança devido a possíveis ataques XSS. A configuração padrão está desativada (`false`) para aplicativos que visam Android Jelly Bean e versões mais recentes.
|
|||
|
* Para verificar essa configuração, use `getAllowUniversalAccessFromFileURLs()`.
|
|||
|
* Para modificar essa configuração, use `setAllowUniversalAccessFromFileURLs(boolean)`.
|
|||
|
* **Acesso a Arquivos de URLs de Arquivo**: Este recurso, também obsoleto, controlava o acesso ao conteúdo de outras URLs de esquema de arquivo. Assim como o acesso universal, seu padrão é desativado para maior segurança.
|
|||
|
* Use `getAllowFileAccessFromFileURLs()` para verificar e `setAllowFileAccessFromFileURLs(boolean)` para definir.
|
|||
|
|
|||
|
#### **Carregamento Seguro de Arquivos**
|
|||
|
|
|||
|
Para desabilitar o acesso ao sistema de arquivos enquanto ainda acessa ativos e recursos, o método `setAllowFileAccess()` é utilizado. Com Android R e versões superiores, a configuração padrão é `false`.
|
|||
|
|
|||
|
* Verifique com `getAllowFileAccess()`.
|
|||
|
* Ative ou desative com `setAllowFileAccess(boolean)`.
|
|||
|
|
|||
|
#### **WebViewAssetLoader**
|
|||
|
|
|||
|
A classe **WebViewAssetLoader** é a abordagem moderna para carregar arquivos locais. Ela usa URLs http(s) para acessar ativos e recursos locais, alinhando-se à política de Mesma Origem, facilitando assim a gestão de CORS.
|
|||
|
|
|||
|
### loadUrl
|
|||
|
|
|||
|
Esta é uma função comum usada para carregar URLs arbitrárias em um webview:
|
|||
|
```java
|
|||
|
webview.loadUrl("<url here>")
|
|||
|
```
|
|||
|
Ofc, um potencial atacante nunca deve ser capaz de **controlar a URL** que um aplicativo vai carregar.
|
|||
|
|
|||
|
### **Manipulação de JavaScript e Intent Scheme**
|
|||
|
|
|||
|
* **JavaScript**: Desativado por padrão em WebViews, pode ser ativado via `setJavaScriptEnabled()`. Cuidado é aconselhado, pois ativar JavaScript sem as devidas salvaguardas pode introduzir vulnerabilidades de segurança.
|
|||
|
* **Intent Scheme**: WebViews podem manipular o esquema `intent`, potencialmente levando a explorações se não forem gerenciadas com cuidado. Uma vulnerabilidade de exemplo envolveu um parâmetro WebView exposto "support\_url" que poderia ser explorado para executar ataques de cross-site scripting (XSS).
|
|||
|
|
|||
|
![Vulnerable WebView](<../../.gitbook/assets/image (1191).png>)
|
|||
|
|
|||
|
Exemplo de exploração usando adb:
|
|||
|
|
|||
|
{% code overflow="wrap" %}
|
|||
|
```bash
|
|||
|
adb.exe shell am start -n com.tmh.vulnwebview/.SupportWebView –es support_url "https://example.com/xss.html"
|
|||
|
```
|
|||
|
{% endcode %}
|
|||
|
|
|||
|
### Javascript Bridge
|
|||
|
|
|||
|
Um recurso é fornecido pelo Android que permite que **JavaScript** em um WebView invoque **funções nativas de aplicativos Android**. Isso é alcançado utilizando o método `addJavascriptInterface`, que integra JavaScript com funcionalidades nativas do Android, denominado como um _WebView JavaScript bridge_. Cuidado é aconselhado, pois este método permite que todas as páginas dentro do WebView acessem o objeto de Interface JavaScript registrado, representando um risco de segurança se informações sensíveis forem expostas através dessas interfaces.
|
|||
|
|
|||
|
* **Extrema cautela é necessária** para aplicativos que visam versões do Android abaixo de 4.2 devido a uma vulnerabilidade que permite a execução remota de código através de JavaScript malicioso, explorando reflexão.
|
|||
|
|
|||
|
#### Implementando um JavaScript Bridge
|
|||
|
|
|||
|
* **Interfaces JavaScript** podem interagir com código nativo, como mostrado nos exemplos onde um método de classe é exposto ao JavaScript:
|
|||
|
```javascript
|
|||
|
@JavascriptInterface
|
|||
|
public String getSecret() {
|
|||
|
return "SuperSecretPassword";
|
|||
|
};
|
|||
|
```
|
|||
|
* A ponte JavaScript é ativada adicionando uma interface ao WebView:
|
|||
|
```javascript
|
|||
|
webView.addJavascriptInterface(new JavascriptBridge(), "javascriptBridge");
|
|||
|
webView.reload();
|
|||
|
```
|
|||
|
* A exploração potencial através do JavaScript, por exemplo, via um ataque XSS, permite a chamada de métodos Java expostos:
|
|||
|
```html
|
|||
|
<script>alert(javascriptBridge.getSecret());</script>
|
|||
|
```
|
|||
|
* Para mitigar riscos, **restrinja o uso da ponte JavaScript** ao código enviado com o APK e impeça o carregamento de JavaScript de fontes remotas. Para dispositivos mais antigos, defina o nível mínimo da API para 17.
|
|||
|
|
|||
|
### Execução Remota de Código Baseada em Reflexão (RCE)
|
|||
|
|
|||
|
* Um método documentado permite alcançar RCE através da reflexão, executando um payload específico. No entanto, a anotação `@JavascriptInterface` impede o acesso não autorizado a métodos, limitando a superfície de ataque.
|
|||
|
|
|||
|
### Depuração Remota
|
|||
|
|
|||
|
* **Depuração remota** é possível com **Chrome Developer Tools**, permitindo interação e execução arbitrária de JavaScript dentro do conteúdo do WebView.
|
|||
|
|
|||
|
#### Habilitando a Depuração Remota
|
|||
|
|
|||
|
* A depuração remota pode ser habilitada para todos os WebViews dentro de um aplicativo por:
|
|||
|
```java
|
|||
|
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
|
|||
|
WebView.setWebContentsDebuggingEnabled(true);
|
|||
|
}
|
|||
|
```
|
|||
|
* Para habilitar condicionalmente a depuração com base no estado de depuração do aplicativo:
|
|||
|
```java
|
|||
|
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
|
|||
|
if (0 != (getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE))
|
|||
|
{ WebView.setWebContentsDebuggingEnabled(true); }
|
|||
|
}
|
|||
|
```
|
|||
|
## Exfiltrar arquivos arbitrários
|
|||
|
|
|||
|
* Demonstra a exfiltração de arquivos arbitrários usando um XMLHttpRequest:
|
|||
|
```javascript
|
|||
|
var xhr = new XMLHttpRequest();
|
|||
|
xhr.onreadystatechange = function() {
|
|||
|
if (xhr.readyState == XMLHttpRequest.DONE) {
|
|||
|
alert(xhr.responseText);
|
|||
|
}
|
|||
|
}
|
|||
|
xhr.open('GET', 'file:///data/data/com.authenticationfailure.wheresmybrowser/databases/super_secret.db', true);
|
|||
|
xhr.send(null);
|
|||
|
```
|
|||
|
## Referências
|
|||
|
|
|||
|
* [https://labs.integrity.pt/articles/review-android-webviews-fileaccess-attack-vectors/index.html](https://labs.integrity.pt/articles/review-android-webviews-fileaccess-attack-vectors/index.html)
|
|||
|
* [https://github.com/authenticationfailure/WheresMyBrowser.Android](https://github.com/authenticationfailure/WheresMyBrowser.Android)
|
|||
|
* [https://developer.android.com/reference/android/webkit/WebView](https://developer.android.com/reference/android/webkit/WebView)
|
|||
|
* [https://medium.com/@justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1](https://medium.com/@justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1)
|
|||
|
* [https://www.justmobilesec.com/en/blog/deep-links-webviews-exploitations-part-I](https://www.justmobilesec.com/en/blog/deep-links-webviews-exploitations-part-I)
|
|||
|
|
|||
|
{% hint style="success" %}
|
|||
|
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
|||
|
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
|||
|
|
|||
|
<details>
|
|||
|
|
|||
|
<summary>Suporte ao HackTricks</summary>
|
|||
|
|
|||
|
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
|
|||
|
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
|||
|
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
|
|||
|
|
|||
|
</details>
|
|||
|
{% endhint %}
|