hacktricks/mobile-pentesting/android-app-pentesting/webview-attacks.md

Ataki na WebView

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

• Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
• Zdobądź oficjalne gadżety PEASS & HackTricks
• Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
• Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

Uproszczony przewodnik po konfiguracjach i zabezpieczeniach WebView

Przegląd podatności WebView

Krytycznym aspektem rozwoju Androida jest prawidłowe obsługiwanie WebViews. Ten przewodnik przedstawia kluczowe konfiguracje i praktyki zabezpieczeń mające na celu zmniejszenie ryzyka związanego z korzystaniem z WebView.

Dostęp do plików w WebViews

Domyślnie WebViews pozwalają na dostęp do plików. Funkcjonalność ta jest kontrolowana przez metodę setAllowFileAccess(), dostępną od poziomu API Androida 3 (Cupcake 1.5). Aplikacje posiadające uprawnienie android.permission.READ_EXTERNAL_STORAGE mogą odczytywać pliki z zewnętrznego nośnika za pomocą schematu URL pliku (file://ścieżka/do/pliku).

Przestarzałe funkcje: Uniwersalny dostęp i dostęp do plików z adresów URL

• Uniwersalny dostęp z adresów URL plików: Ta przestarzała funkcja umożliwiała żądania międzydomenowe z adresów URL plików, co stanowiło znaczne ryzyko bezpieczeństwa związanego z potencjalnymi atakami XSS. Domyślne ustawienie to wyłączone (false) dla aplikacji docelowych Androida Jelly Bean i nowszych.

• Aby sprawdzić to ustawienie, użyj getAllowUniversalAccessFromFileURLs().

• Aby zmienić to ustawienie, użyj setAllowUniversalAccessFromFileURLs(boolean).

• Dostęp do plików z adresów URL plików: Ta również przestarzała funkcja kontrolowała dostęp do zawartości z innych adresów URL schematu pliku. Podobnie jak w przypadku uniwersalnego dostępu, domyślne ustawienie to wyłączone dla zwiększenia bezpieczeństwa.

• Użyj getAllowFileAccessFromFileURLs() do sprawdzenia i setAllowFileAccessFromFileURLs(boolean) do ustawienia.

Bezpieczne ładowanie plików

Aby wyłączyć dostęp do systemu plików, jednocześnie umożliwiając dostęp do zasobów i zasobów, używa się metody setAllowFileAccess(). Od wersji Androida R i nowszych domyślne ustawienie to false.

• Sprawdź za pomocą getAllowFileAccess().
• Włącz lub wyłącz za pomocą setAllowFileAccess(boolean).

WebViewAssetLoader

Klasa WebViewAssetLoader to nowoczesne podejście do ładowania lokalnych plików. Wykorzystuje adresy URL http(s) do dostępu do lokalnych zasobów i zasobów, zgodnie z zasadą Same-Origin, ułatwiając zarządzanie CORS.

Obsługa JavaScriptu i schematu Intent

• JavaScript: Domyślnie wyłączony w WebViews, można go włączyć za pomocą setJavaScriptEnabled(). Należy zachować ostrożność, ponieważ włączenie JavaScriptu bez odpowiednich zabezpieczeń może wprowadzić podatności na ataki.

• Schemat Intent: WebViews mogą obsługiwać schemat intent, co potencjalnie prowadzi do wykorzystania, jeśli nie jest odpowiednio zarządzany. Przykładem podatności było wystawienie parametru WebView "support_url", który mógł być wykorzystany do wykonania ataków typu cross-site scripting (XSS).

Przykład wykorzystania za pomocą adb:

adb.exe shell am start -n com.tmh.vulnwebview/.SupportWebView –es support_url "https://example.com/xss.html"

Most JavaScript Bridge

Funkcja dostarczana przez Androida umożliwiająca JavaScriptowi w WebView wywoływanie funkcji natywnych aplikacji Androidowych. Jest to osiągane poprzez wykorzystanie metody addJavascriptInterface, która integruje JavaScript z natywnymi funkcjonalnościami Androida, określanymi jako WebView JavaScript bridge. Należy zachować ostrożność, ponieważ ta metoda umożliwia wszystkim stroną w WebView dostęp do zarejestrowanego obiektu interfejsu JavaScript, co stanowi ryzyko bezpieczeństwa, jeśli wrażliwe informacje są ujawniane przez te interfejsy.

Ważne rozważania

• Wymagana jest skrajna ostrożność dla aplikacji docelowo działających na wersjach Androida poniżej 4.2 ze względu na podatność umożliwiającą zdalne wykonanie kodu poprzez złośliwy JavaScript, wykorzystujący refleksję.

Implementacja JavaScript Bridge

• Interfejsy JavaScript mogą współdziałać z kodem natywnym, jak pokazano na przykładach, gdzie metoda klasy jest udostępniana JavaScriptowi:

@JavascriptInterface
public String getSecret() {
return "SuperSecretPassword";
};

• JavaScript Bridge jest włączony poprzez dodanie interfejsu do WebView:

webView.addJavascriptInterface(new JavascriptBridge(), "javascriptBridge");
webView.reload();

• Potencjalne wykorzystanie za pomocą JavaScriptu, na przykład poprzez atak XSS, umożliwia wywołanie odsłoniętych metod Javy:

<script>alert(javascriptBridge.getSecret());</script>

• Aby zmniejszyć ryzyko, ogranicz korzystanie z mostka JavaScript do kodu dostarczonego w pliku APK i zapobiegaj ładowaniu JavaScriptu z odległych źródeł. Dla starszych urządzeń ustaw minimalny poziom API na 17.

Wykonywanie zdalnego kodu (RCE) oparte na refleksji

• Udokumentowana metoda umożliwia osiągnięcie RCE poprzez refleksję poprzez wykonanie określonego ładunku. Jednak adnotacja @JavascriptInterface zapobiega nieautoryzowanemu dostępowi do metod, ograniczając powierzchnię ataku.

Zdalne debugowanie

• Zdalne debugowanie jest możliwe dzięki narzędziom deweloperskim Chrome, umożliwiając interakcję i dowolne wykonywanie kodu JavaScript w treści WebView.

Włączanie zdalnego debugowania

• Zdalne debugowanie można włączyć dla wszystkich WebView w aplikacji poprzez:

if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
WebView.setWebContentsDebuggingEnabled(true);
}

• Aby warunkowo włączyć debugowanie na podstawie stanu debugowalności aplikacji:

if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
if (0 != (getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE))
{ WebView.setWebContentsDebuggingEnabled(true); }
}

Wyciek dowolnych plików

• Przedstawia wyciek dowolnych plików za pomocą XMLHttpRequest:

var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
if (xhr.readyState == XMLHttpRequest.DONE) {
alert(xhr.responseText);
}
}
xhr.open('GET', 'file:///data/data/com.authenticationfailure.wheresmybrowser/databases/super_secret.db', true);
xhr.send(null);

Odwołania

• https://labs.integrity.pt/articles/review-android-webviews-fileaccess-attack-vectors/index.html
• https://github.com/authenticationfailure/WheresMyBrowser.Android
• https://developer.android.com/reference/android/webkit/WebView

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

• Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
• Zdobądź oficjalne gadżety PEASS & HackTricks
• Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
• Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.