Webview Attacks
Guia sobre Configurações e Segurança do WebView
Visão Geral das Vulnerabilidades do WebView
Um aspecto crítico do desenvolvimento Android envolve o manuseio correto dos WebViews. Este guia destaca configurações chave e práticas de segurança para mitigar riscos associados ao uso do WebView.
Acesso a Arquivos em WebViews
Por padrão, os WebViews permitem acesso a arquivos. Essa funcionalidade é controlada pelo método setAllowFileAccess()
, disponível desde o nível de API 3 do Android (Cupcake 1.5). Aplicativos com a permissão android.permission.READ_EXTERNAL_STORAGE podem ler arquivos do armazenamento externo usando um esquema de URL de arquivo (file://path/to/file
).
Recursos Obsoletos: Acesso Universal e Acesso a Arquivos de URLs
Acesso Universal de URLs de Arquivo: Este recurso obsoleto permitia solicitações de origem cruzada de URLs de arquivo, representando um risco significativo de segurança devido a possíveis ataques XSS. A configuração padrão está desativada (
false
) para aplicativos que visam Android Jelly Bean e versões mais recentes.Para verificar essa configuração, use
getAllowUniversalAccessFromFileURLs()
.Para modificar essa configuração, use
setAllowUniversalAccessFromFileURLs(boolean)
.Acesso a Arquivos de URLs de Arquivo: Este recurso, também obsoleto, controlava o acesso ao conteúdo de outras URLs de esquema de arquivo. Assim como o acesso universal, seu padrão é desativado para maior segurança.
Use
getAllowFileAccessFromFileURLs()
para verificar esetAllowFileAccessFromFileURLs(boolean)
para definir.
Carregamento Seguro de Arquivos
Para desabilitar o acesso ao sistema de arquivos enquanto ainda acessa ativos e recursos, o método setAllowFileAccess()
é utilizado. Com Android R e versões superiores, a configuração padrão é false
.
Verifique com
getAllowFileAccess()
.Ative ou desative com
setAllowFileAccess(boolean)
.
WebViewAssetLoader
A classe WebViewAssetLoader é a abordagem moderna para carregar arquivos locais. Ela usa URLs http(s) para acessar ativos e recursos locais, alinhando-se à política de Mesma Origem, facilitando assim a gestão de CORS.
loadUrl
Esta é uma função comum usada para carregar URLs arbitrárias em um webview:
Ofc, um potencial atacante nunca deve ser capaz de controlar a URL que um aplicativo vai carregar.
Manipulação de JavaScript e Intent Scheme
JavaScript: Desativado por padrão em WebViews, pode ser ativado via
setJavaScriptEnabled()
. Cuidado é aconselhado, pois ativar JavaScript sem as devidas salvaguardas pode introduzir vulnerabilidades de segurança.Intent Scheme: WebViews podem manipular o esquema
intent
, potencialmente levando a explorações se não forem gerenciadas com cuidado. Uma vulnerabilidade de exemplo envolveu um parâmetro WebView exposto "support_url" que poderia ser explorado para executar ataques de cross-site scripting (XSS).
Exemplo de exploração usando adb:
Javascript Bridge
Um recurso é fornecido pelo Android que permite que JavaScript em um WebView invoque funções nativas de aplicativos Android. Isso é alcançado utilizando o método addJavascriptInterface
, que integra JavaScript com funcionalidades nativas do Android, denominado como um WebView JavaScript bridge. Cuidado é aconselhado, pois este método permite que todas as páginas dentro do WebView acessem o objeto de Interface JavaScript registrado, representando um risco de segurança se informações sensíveis forem expostas através dessas interfaces.
Extrema cautela é necessária para aplicativos que visam versões do Android abaixo de 4.2 devido a uma vulnerabilidade que permite a execução remota de código através de JavaScript malicioso, explorando reflexão.
Implementando um JavaScript Bridge
Interfaces JavaScript podem interagir com código nativo, como mostrado nos exemplos onde um método de classe é exposto ao JavaScript:
A ponte JavaScript é ativada adicionando uma interface ao WebView:
A exploração potencial através do JavaScript, por exemplo, via um ataque XSS, permite a chamada de métodos Java expostos:
Para mitigar riscos, restrinja o uso da ponte JavaScript ao código enviado com o APK e impeça o carregamento de JavaScript de fontes remotas. Para dispositivos mais antigos, defina o nível mínimo da API para 17.
Execução Remota de Código Baseada em Reflexão (RCE)
Um método documentado permite alcançar RCE através da reflexão, executando um payload específico. No entanto, a anotação
@JavascriptInterface
impede o acesso não autorizado a métodos, limitando a superfície de ataque.
Depuração Remota
Depuração remota é possível com Chrome Developer Tools, permitindo interação e execução arbitrária de JavaScript dentro do conteúdo do WebView.
Habilitando a Depuração Remota
A depuração remota pode ser habilitada para todos os WebViews dentro de um aplicativo por:
Para habilitar condicionalmente a depuração com base no estado de depuração do aplicativo:
Exfiltrar arquivos arbitrários
Demonstra a exfiltração de arquivos arbitrários usando um XMLHttpRequest:
Referências
Last updated