Manejo seguro del portapapeles

Categoría de OWASP: MASVS-CODE: Calidad de código

Descripción general

Android ofrece un framework potente conocido como portapapeles para copiar y pegar datos entre aplicaciones. Una implementación incorrecta de esta función podría exponer los datos relacionados con el usuario a aplicaciones o personas malintencionadas no autorizadas.

El riesgo específico asociado con la exposición de los datos del portapapeles depende de la naturaleza de la aplicación y de la información de identificación personal (PII) que esta administra. El impacto es especialmente alto para las aplicaciones financieras, ya que pueden exponer datos de pago, o bien apps que controlan códigos de autenticación de dos factores (2FA).

Los vectores de ataque que se podrían aprovechar para extraer datos del portapapeles varían según la versión de Android:

• Las versiones de Android anteriores a Android 10 (nivel de API 29) permiten que las aplicaciones en segundo plano accedan a la información del portapapeles de la app en primer plano, lo que podría permitir el acceso directo a cualquier dato copiado por parte de personas malintencionadas.
• A partir de Android 12 (nivel de API 31), cada vez que una aplicación accede a los datos del portapapeles y los pega, se le muestra un mensaje de aviso al usuario, lo que dificulta que los ataques pasen desapercibidos. Además, para proteger la PII, Android admite la marca especial ClipDescription.EXTRA_IS_SENSITIVE o android.content.extra.IS_SENSITIVE. Esto permite a los desarrolladores ofuscar visualmente la vista previa del contenido del portapapeles dentro de la GUI del teclado, lo que evita que los datos copiados se muestren visualmente en texto simple y que aplicaciones maliciosas los roben. No implementar una de las marcas mencionadas podría permitir que los atacantes extraigan datos sensibles copiados en el portapapeles a través de la técnica del hombro o de aplicaciones maliciosas que, mientras se ejecutan en segundo plano, toman capturas de pantalla o graban videos de las actividades de un usuario legítimo.

Impacto

El aprovechamiento de un manejo incorrecto del portapapeles podría provocar que actores maliciosos extraigan datos financieros o sensibles relacionados con el usuario. Esto puede ayudar a los atacantes a realizar más acciones, como campañas de phishing o robo de identidad.

Mitigaciones

Marcar datos sensibles

Esta solución se emplea para ofuscar visualmente la vista previa del contenido del portapapeles dentro de la GUI del teclado. Cualquier dato sensible que se pueda copiar, como contraseñas o datos de tarjetas de crédito, debe marcarse con ClipDescription.EXTRA_IS_SENSITIVE o android.content.extra.IS_SENSITIVE antes de llamar a ClipboardManager.setPrimaryClip().

// If your app is compiled with the API level 33 SDK or higher.
clipData.apply {
    description.extras = PersistableBundle().apply {
        putBoolean(ClipDescription.EXTRA_IS_SENSITIVE, true)
    }
}

// If your app is compiled with API level 32 SDK or lower.
clipData.apply {
    description.extras = PersistableBundle().apply {
        putBoolean("android.content.extra.IS_SENSITIVE", true)
    }
}

// If your app is compiled with the API level 33 SDK or higher.
PersistableBundle extras = new PersistableBundle();
extras.putBoolean(ClipDescription.EXTRA_IS_SENSITIVE, true);
clipData.getDescription().setExtras(extras);

// If your app is compiled with API level 32 SDK or lower.
PersistableBundle extras = new PersistableBundle();
extras.putBoolean("android.content.extra.IS_SENSITIVE", true);
clipData.getDescription().setExtras(extras);

Aplica la versión más reciente de Android

Si se aplica la aplicación para que se ejecute en versiones de Android posteriores o iguales a Android 10 (nivel de API 29), se evita que los procesos en segundo plano accedan a los datos del portapapeles en la aplicación en primer plano.

Para forzar que la app se ejecute solo en Android 10 (nivel de API 29) o versiones posteriores, establece los siguientes valores para la configuración de la versión en los archivos de compilación de Gradle dentro de tu proyecto en Android Studio.

android {
      namespace 'com.example.testapp'
      compileSdk [SDK_LATEST_VERSION]

      defaultConfig {
          applicationId "com.example.testapp"
          minSdk 29
          targetSdk [SDK_LATEST_VERSION]
          versionCode 1
          versionName "1.0"
          ...
      }
      ...
    }
    ...

android {
      namespace = "com.example.testapp"
      compileSdk = [SDK_LATEST_VERSION]

      defaultConfig {
          applicationId = "com.example.testapp"
          minSdk = 29
          targetSdk = [SDK_LATEST_VERSION]
          versionCode = 1
          versionName = "1.0"
          ...
      }
      ...
    }
    ...

Borra el contenido del portapapeles después de un período definido

Si la aplicación está diseñada para ejecutarse en versiones de Android anteriores a Android 10 (nivel de API 29), cualquier aplicación en segundo plano puede acceder a los datos del portapapeles. Para reducir este riesgo, es útil implementar una función que borre los datos copiados en el portapapeles después de un período específico. Esta función se realiza automáticamente a partir de Android 13 (nivel de API 33). En versiones anteriores de Android, esta eliminación se puede realizar si se incluye el siguiente fragmento en el código de la aplicación.

//The Executor makes this task Asynchronous so that the UI continues being responsive
backgroundExecutor.schedule({
    //Creates a clip object with the content of the Clipboard
    val clipboard = getSystemService(Context.CLIPBOARD_SERVICE) as ClipboardManager
    val clip = clipboard.primaryClip
    //If SDK version is higher or equal to 28, it deletes Clipboard data with clearPrimaryClip()
    if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.P) {
        clipboard.clearPrimaryClip()
    } else if (Build.VERSION.SDK_INT < Build.VERSION_CODES.P) {
    //If SDK version is lower than 28, it will replace Clipboard content with an empty value
        val newEmptyClip = ClipData.newPlainText("EmptyClipContent", "")
        clipboard.setPrimaryClip(newEmptyClip)
     }
//The delay after which the Clipboard is cleared, measured in seconds
}, 5, TimeUnit.SECONDS)

//The Executor makes this task Asynchronous so that the UI continues being responsive

ScheduledExecutorService backgroundExecutor = Executors.newSingleThreadScheduledExecutor();

backgroundExecutor.schedule(new Runnable() {
    @Override
    public void run() {
        //Creates a clip object with the content of the Clipboard
        ClipboardManager clipboard = (ClipboardManager)getSystemService(Context.CLIPBOARD_SERVICE);
        ClipData clip = clipboard.getPrimaryClip();
        //If SDK version is higher or equal to 28, it deletes Clipboard data with clearPrimaryClip()
        if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.P) {
            clipboard.clearPrimaryClip();
            //If SDK version is lower than 28, it will replace Clipboard content with an empty value
        } else if (Build.VERSION.SDK_INT < Build.VERSION_CODES.P) {
            ClipData newEmptyClip = ClipData.newPlainText("EmptyClipContent", "");
            clipboard.setPrimaryClip(newEmptyClip);
        }
    //The delay after which the Clipboard is cleared, measured in seconds
    }, 5, TimeUnit.SECONDS);

Recursos

• El framework del portapapeles
• La notificación del sistema se muestra cuando la app accede a los datos del portapapeles
• Cómo agregar contenido sensible al portapapeles
• Cambios en la privacidad de Android 10
• Cómo establecer la información de la versión de la app