Rozwiązania do rozpoznawania treści

Kategoria OWASP: MASVS-PLATFORM: Platform Interaction

Omówienie

Zgodnie z dokumentacją ContentResolver to „klasa, która zapewnia aplikacjom dostęp do modelu treści”. ContentResolver udostępnia metody umożliwiające interakcję z treścią, pobieranie jej lub modyfikowanie. Treści są dostarczane przez:

  • Zainstalowane aplikacje (schemat URI content://)
  • Systemy plików (schemat URI file://)
  • Obsługa interfejsów API zgodnie z Androidem (schemat identyfikatora URI android.resource://).

Podsumowując, luki związane z ContentResolver należą do klasy zdezorientowanego zastępcy, ponieważ atakujący może używać uprawnień podatnej aplikacji do uzyskiwania dostępu do chronionych treści.

Zagrożenie: nadużycia związane z niezaufanymi identyfikatorami URI typu file://

Nadużycie ContentResolver przy użyciu luki w zabezpieczeniach w identyfikatorze URI file:// wykorzystuje możliwość ContentResolver do zwracania opisów plików opisanych przez identyfikator URI. Ta luka w zabezpieczeniach dotyczy funkcji openFile(), openFileDescriptor(), openInputStream(), openOutputStream() lub openAssetFileDescriptor() z interfejsu ContentResolver API. W przypadku tej podatności można użyć identyfikatora URI file://, który jest w pełni lub częściowo kontrolowany przez atakującego, aby zmusić aplikację do uzyskania dostępu do plików, które nie powinny być dostępne, takich jak wewnętrzne bazy danych lub udostępnione ustawienia.

Jednym z możliwych scenariuszy ataku jest utworzenie szkodliwej galerii lub selektora plików, który w przypadku użycia przez podatną aplikację zwróci szkodliwy identyfikator URI.

Istnieje kilka wariantów tego ataku:

  • file:// URI kontrolowany przez atakującego i odwołujący się do plików wewnętrznych aplikacji
  • Część identyfikatora URI file:// jest kontrolowana przez atakującego, co powoduje, że jest on podatny na przeszukiwanie ścieżek.
  • file:// URI kierujący na link symboliczny (skrót) kontrolowany przez osobę przeprowadzającą atak, który wskazuje na wewnętrzne pliki aplikacji
  • Podobnie jak w poprzednim wariancie, ale w tym przypadku atakujący wielokrotnie zamienia docelowy skrót symboliczny z uprawnionego miejsca docelowego na wewnętrzne pliki aplikacji. Celem jest wykorzystanie warunku wyścigu między potencjalnym sprawdzeniem zabezpieczeń a używaniem ścieżki pliku.

Wpływ

Skutki wykorzystania tej luki w zabezpieczeniach różnią się w zależności od tego, do czego służy ContentResolver. W wielu przypadkach może to spowodować wydostanie się chronionych danych aplikacji lub ich zmodyfikowanie przez nieupoważnione osoby.

Środki zaradcze

Aby ograniczyć tę lukę w zabezpieczeniach, użyj algorytmu poniżej do sprawdzenia deskryptora pliku. Po pomyślnym przejściu weryfikacji można bezpiecznie używać deskryptora pliku.

Kotlin

fun isValidFile(ctx: Context, pfd: ParcelFileDescriptor, fileUri: Uri): Boolean {
    // Canonicalize to resolve symlinks and path traversals.
    val fdCanonical = File(fileUri.path!!).canonicalPath

    val pfdStat: StructStat = Os.fstat(pfd.fileDescriptor)

    // Lstat doesn't follow the symlink.
    val canonicalFileStat: StructStat = Os.lstat(fdCanonical)

    // Since we canonicalized (followed the links) the path already,
    // the path shouldn't point to symlink unless it was changed in the
    // meantime.
    if (OsConstants.S_ISLNK(canonicalFileStat.st_mode)) {
        return false
    }

    val sameFile =
        pfdStat.st_dev == canonicalFileStat.st_dev &&
        pfdStat.st_ino == canonicalFileStat.st_ino

    if (!sameFile) {
        return false
    }

    return !isBlockedPath(ctx, fdCanonical)
}

fun isBlockedPath(ctx: Context, fdCanonical: String): Boolean {
    // Paths that should rarely be exposed
    if (fdCanonical.startsWith("/proc/") ||
        fdCanonical.startsWith("/data/misc/")) {
        return true
    }

    // Implement logic to block desired directories. For example, specify
    // the entire app data/ directory to block all access.
}

Java

boolean isValidFile(Context ctx, ParcelFileDescriptor pfd, Uri fileUri) {
    // Canonicalize to resolve symlinks and path traversals
    String fdCanonical = new File(fileUri.getPath()).getCanonicalPath();

    StructStat pfdStat = Os.fstat(pfd.getFileDescriptor());

    // Lstat doesn't follow the symlink. 
    StructStat canonicalFileStat = Os.lstat(fdCanonical);

    // Since we canonicalized (followed the links) the path already, 
    // the path shouldn't point to symlink unless it was changed in the meantime
    if (OsConstants.S_ISLNK(canonicalFileStat.st_mode)) {
        return false;
    }

    boolean sameFile =
        pfdStat.stDev == canonicalFileStat.stDev && pfdStat.stIno == canonicalFileStat.stIno;

    if (!sameFile) {
        return false;
    }

    return !isBlockedPath(ctx, fdCanonical);
} 

boolean isBlockedPath(Context ctx, String fdCanonical) {
        
        // Paths that should rarely be exposed
        if (fdCanonical.startsWith("/proc/") || fdCanonical.startsWith("/data/misc/")) {
            return true;
        }

        // Implement logic to block desired directories. For example, specify
        // the entire app data/ directory to block all access.
}


Zagrożenie: nadużycie polegające na wykorzystaniu nieznanego identyfikatora URI treści://

Nadużycie ContentResolver za pomocą luki w zabezpieczeniach w adresie URI content:// występuje, gdy do interfejsów API ContentResolver przekazywany jest adres URI kontrolowany w pełni lub częściowo przez osobę przeprowadzającą atak, aby działać na treściach, które nie powinny być dostępne.

Istnieją 2 główne scenariusze tego ataku:

  • Aplikacja działa na podstawie własnych, wewnętrznych treści. Na przykład: po otrzymaniu identyfikatora URI od osoby atakującej aplikacja pocztowa zamiast zewnętrznego zdjęcia dołącza dane od własnego wewnętrznego dostawcy treści.
  • Aplikacja działa jako serwer pośredniczący i uzyskiwanie dostępu do danych innej aplikacji w celu ich przekazania atakującemu. Na przykład: aplikacja pocztowa załącza dane z aplikacji X, które są chronione przez uprawnienie, które normalnie uniemożliwiałoby atakującemu wyświetlenie tego konkretnego załącznika. Jest on dostępny dla aplikacji, która przesyła załącznik, ale nie jest początkowo przekazywany atakującemu.

Jednym z możliwych scenariuszy ataku jest utworzenie złośliwej galerii lub selektora plików, który po użyciu przez podatną aplikację zwróci złośliwy identyfikator URI.

Wpływ

Wpływ wykorzystania tej luki w zabezpieczeniach zależy od kontekstu związanego z ContentResolver. Może to spowodować wyciek chronionych danych aplikacji lub ich zmodyfikowanie przez osoby nieupoważnione.

Środki zaradcze

Ogólne

weryfikować przychodzące identyfikatory URI; Dobrą praktyką jest na przykład korzystanie z listy dozwolonych instytucji.

Identyfikator URI kieruje na dostawcę treści, który nie został wyeksportowany lub jest chroniony uprawnieniami i należy do podatnej na ataki aplikacji

Sprawdź, czy identyfikator URI kieruje na Twoją aplikację:

Kotlin

fun belongsToCurrentApplication(ctx: Context, uri: Uri): Boolean {
    val authority: String = uri.authority.toString()
    val info: ProviderInfo =
        ctx.packageManager.resolveContentProvider(authority, 0)!!

    return ctx.packageName.equals(info.packageName)
}

Java

boolean belongsToCurrentApplication(Context ctx, Uri uri){
    String authority = uri.getAuthority();
    ProviderInfo info = ctx.getPackageManager().resolveContentProvider(authority, 0);

    return ctx.getPackageName().equals(info.packageName);
}

Jeśli eksportujesz dane z dostawcy docelowego:

Kotlin

fun isExported(ctx: Context, uri: Uri): Boolean {
    val authority = uri.authority.toString()
    val info: ProviderInfo =
            ctx.packageManager.resolveContentProvider(authority, 0)!!

    return info.exported
}

Java

boolean isExported(Context ctx, Uri uri){
    String authority = uri.getAuthority();
    ProviderInfo info = ctx.getPackageManager().resolveContentProvider(authority, 0);       

    return info.exported;
}

Albo jeśli przyznano wyraźne uprawnienia do identyfikatora URI – ta kontrola opiera się na założeniu, że jeśli przyznano wyraźne uprawnienia do dostępu do danych, identyfikator URI nie jest złośliwy:

Kotlin

// grantFlag is one of: FLAG_GRANT_READ_URI_PERMISSION or FLAG_GRANT_WRITE_URI_PERMISSION
fun wasGrantedPermission(ctx: Context, uri: Uri?, grantFlag: Int): Boolean {
    val pid: Int = Process.myPid()
    val uid: Int = Process.myUid()
    return ctx.checkUriPermission(uri, pid, uid, grantFlag) ==
            PackageManager.PERMISSION_GRANTED
}

Java

// grantFlag is one of: FLAG_GRANT_READ_URI_PERMISSION or FLAG_GRANT_WRITE_URI_PERMISSION
boolean wasGrantedPermission(Context ctx, Uri uri, int grantFlag){
    int pid = Process.myPid();
    int uid = Process.myUid();

    return ctx.checkUriPermission(uri, pid, uid, grantFlag) == PackageManager.PERMISSION_GRANTED;
}

Identyfikator URI kieruje na chroniony przez uprawnienia komponent ContentProvider należący do innej aplikacji, która ufa podatnej aplikacji.

Ten atak jest istotny w tych sytuacjach:

  • ekosystemy aplikacji, w których aplikacje definiują i korzystają z niestandardowych uprawnień lub innych mechanizmów uwierzytelniania;
  • ataki za pomocą proxy uprawnień, w których atakujący wykorzystuje podatną na ataki aplikację, która ma uprawnienia w czasie działania, np. READ_CONTACTS, aby pobrać dane od dostawcy systemu;

Sprawdź, czy przyznano uprawnienia do identyfikatora URI:

Kotlin

// grantFlag is one of: FLAG_GRANT_READ_URI_PERMISSION or FLAG_GRANT_WRITE_URI_PERMISSION
fun wasGrantedPermission(ctx: Context, uri: Uri?, grantFlag: Int): Boolean {
    val pid: Int = Process.myPid()
    val uid: Int = Process.myUid()
    return ctx.checkUriPermission(uri, pid, uid, grantFlag) ==
            PackageManager.PERMISSION_GRANTED
}

Java

// grantFlag is one of: FLAG_GRANT_READ_URI_PERMISSION or FLAG_GRANT_WRITE_URI_PERMISSION
boolean wasGrantedPermission(Context ctx, Uri uri, int grantFlag){
    int pid = Process.myPid();
    int uid = Process.myUid();

    return ctx.checkUriPermission(uri, pid, uid, grantFlag) == PackageManager.PERMISSION_GRANTED;
}

Jeśli korzystanie z usług innych dostawców treści nie wymaga udzielenia uprawnień (np. gdy aplikacja zezwala wszystkim aplikacjom z ekosystemu na dostęp do wszystkich danych), wyraźnie zablokuj możliwość korzystania z tych uprawnień.