רכיבי WebView – הכללה של קובץ לא בטוח

קטגוריית OWASP: MASVS-STORAGE: אחסון

סקירה כללית

במסמך הזה מפורטות כמה בעיות שקשורות להכללת קבצים, שיש להן פתרונות דומים. הבעיות האלה מתמקדות בפרצות אבטחה שנובעות מגישה לקבצים בתוך רכיבי WebView, וכוללות מפרצות מסוכנות WebSettings שמאפשרות גישה לקבצים או הפעלה של JavaScript, ועד לשיטה של WebKit שיוצרת בקשה לבחירת קבצים. המסמך הזה יכול לעזור לכם אם אתם מחפשים הנחיות לפתרון בעיות ב-WebView שנובעות משימוש בסכימת file://, מגישה בלתי מוגבלת לקבצים מקומיים ומפרצת אבטחה XSS‏ (cross-site scripting).

באופן יותר ספציפי, במסמך הזה מפורטים הנושאים הבאים:

  • WebSettings היא מחלקה שמכילה שיטות לניהול מצבי ההגדרה של WebViews. השיטות האלה יכולות לפתוח תצוגות WebView למתקפות שונות, שיפורטו בהמשך. במסמך הזה נסביר על השיטות שקשורות לגישה לקבצים, ועל ההגדרה שמאפשרת להריץ JavaScript:
  • אפשר להשתמש בשיטות setAllowFileAccess,‏ setAllowFileAccessFromFileURLs ו-setAllowUniversalAccessFromFileURLs כדי להעניק גישה לקבצים מקומיים באמצעות כתובת URL של סכימת קבצים (file://). עם זאת, סקריפטים זדוניים יכולים לנצל את השיטות האלה כדי לגשת לקבצים מקומיים שרירותיים שהאפליקציה יכולה לגשת אליהם, כמו תיקיית /data/ משלהם. לכן, השיטות האלה סומנו כלא בטוחות והוצאו משימוש ב-API 30 לטובת חלופות בטוחות יותר, כמו WebViewAssetLoader.
  • אפשר להשתמש בשיטה setJavascriptEnabled כדי להפעיל את ההרצה של JavaScript בתוך WebViews. כך האפליקציות חשופות לפרצת אבטחה מסוג XSS שמבוססת על קבצים. במיוחד אם ההגדרה מאפשרת טעינה של קבצים מקומיים או של תוכן אינטרנט לא מהימן שעשוי להכיל קוד הפעלה, אם ההגדרה מאפשרת גישה לקבצים שאפשר ליצור או לשנות ממקורות חיצוניים, או אם ההגדרה מאפשרת לרכיבי WebView להפעיל JavaScript, המשתמשים והנתונים שלהם נמצאים בסיכון.
  • WebChromeClient.onShowFileChooser היא שיטה ששייכת לחבילה android.webkit, שמספקת כלים לגלישה באינטרנט. אפשר להשתמש בשיטה הזו כדי לאפשר למשתמשים לבחור קבצים ב-WebView. עם זאת, יכול להיות שיהיה ניצול לרעה של התכונה הזו כי ב-WebViews לא נאכפות הגבלות על הקובץ שנבחר.

השפעה

ההשפעה של הכללת קבצים יכולה להיות תלויה בהגדרות WebSettings שמוגדרות ב-WebView. הרשאות גישה לקבצים שהן רחבות מדי עלולות לאפשר לתוקפים לגשת לקבצים מקומיים ולגנוב נתונים רגישים, פרטים אישיים מזהים (PII) או נתונים פרטיים של האפליקציה. הפעלת JavaScript יכולה לאפשר לתוקפים להריץ JavaScript ב-WebView או במכשיר של משתמש. קבצים שנבחרו באמצעות השיטה onShowFileChooser עלולים לסכן את אבטחת המשתמשים, כי אין דרך לוודא שהמקור של הקובץ מהימן באמצעות השיטה או WebView.

סיכון: גישה מסוכנת לקבצים דרך file://‎

הפעלת ההגדרות setAllowFileAccess, setAllowFileAccessFromFileURLs ו-setAllowUniversalAccessFromFileURLs עלולה לאפשר לכוונות זדוניות ולבקשות WebView עם הקשר file:// לגשת לקבצים מקומיים שרירותיים, כולל קובצי Cookie של WebView ונתונים פרטיים של האפליקציה. בנוסף, שימוש בשיטה onShowFileChooser יכול לאפשר למשתמשים לבחור ולהוריד קבצים ממקורות לא מהימנים.

כל השיטות האלה יכולות להוביל להוצאת פרטים אישיים מזהים (PII), פרטי כניסה או נתונים רגישים אחרים, בהתאם להגדרת האפליקציה.

אמצעי צמצום סיכונים

אימות כתובות ה-URL של הקבצים

אם האפליקציה שלכם דורשת גישה לקבצים דרך file://כתובות URL, חשוב להוסיף לרשימת ההיתרים רק כתובות URL ספציפיות שידוע שהן לגיטימיות, כדי להימנע משגיאות נפוצות.

שימוש ב-WebViewAssetLoader

במקום השיטות שצוינו, צריך להשתמש ב-WebViewAssetLoader. השיטה הזו משתמשת בסכימת http(s)//: במקום בסכימת file:// כדי לגשת לנכסים של מערכת קבצים מקומית, והיא לא חשופה למתקפה שמתוארת כאן.

Kotlin

val assetLoader: WebViewAssetLoader = Builder()
  .addPathHandler("/assets/", AssetsPathHandler(this))
  .build()

webView.setWebViewClient(object : WebViewClientCompat() {
  @RequiresApi(21)
  override fun shouldInterceptRequest(view: WebView?, request: WebResourceRequest): WebResourceResponse {
    return assetLoader.shouldInterceptRequest(request.url)
  }

  @Suppress("deprecation") // for API < 21
  override fun shouldInterceptRequest(view: WebView?, url: String?): WebResourceResponse {
    return assetLoader.shouldInterceptRequest(Uri.parse(url))
  }
})

val webViewSettings: WebSettings = webView.getSettings()
// Setting this off for security. Off by default for SDK versions >= 16.
webViewSettings.allowFileAccessFromFileURLs = false
// Off by default, deprecated for SDK versions >= 30.
webViewSettings.allowUniversalAccessFromFileURLs = false
// Keeping these off is less critical but still a good idea, especially if your app is not
// using file:// or content:// URLs.
webViewSettings.allowFileAccess = false
webViewSettings.allowContentAccess = false

// Assets are hosted under http(s)://appassets.androidplatform.net/assets/... .
// If the application's assets are in the "main/assets" folder this will read the file
// from "main/assets/www/index.html" and load it as if it were hosted on:
// https://appassets.androidplatform.net/assets/www/index.html
webView.loadUrl("https://appassets.androidplatform.net/assets/www/index.html")

Java

final WebViewAssetLoader assetLoader = new WebViewAssetLoader.Builder()
         .addPathHandler("/assets/", new AssetsPathHandler(this))
         .build();

webView.setWebViewClient(new WebViewClientCompat() {
    @Override
    @RequiresApi(21)
    public WebResourceResponse shouldInterceptRequest(WebView view, WebResourceRequest request) {
        return assetLoader.shouldInterceptRequest(request.getUrl());
    }

    @Override
    @SuppressWarnings("deprecation") // for API < 21
    public WebResourceResponse shouldInterceptRequest(WebView view, String url) {
        return assetLoader.shouldInterceptRequest(Uri.parse(url));
    }
});

WebSettings webViewSettings = webView.getSettings();
// Setting this off for security. Off by default for SDK versions >= 16.
webViewSettings.setAllowFileAccessFromFileURLs(false);
// Off by default, deprecated for SDK versions >= 30.
webViewSettings.setAllowUniversalAccessFromFileURLs(false);
// Keeping these off is less critical but still a good idea, especially if your app is not
// using file:// or content:// URLs.
webViewSettings.setAllowFileAccess(false);
webViewSettings.setAllowContentAccess(false);

// Assets are hosted under http(s)://appassets.androidplatform.net/assets/... .
// If the application's assets are in the "main/assets" folder this will read the file
// from "main/assets/www/index.html" and load it as if it were hosted on:
// https://appassets.androidplatform.net/assets/www/index.html
webview.loadUrl("https://appassets.androidplatform.net/assets/www/index.html");

השבתה של שיטות WebSettings מסוכנות

ערכי ה-methods‏ setAllowFileAccess(),‏ setAllowFileAccessFromFileURLs() ו-setAllowUniversalAccessFromFileURLs() מוגדרים כברירת מחדל ל-TRUE ברמת API 29 ומטה, ול-FALSE ברמת API 30 ומעלה.

אם יש צורך להגדיר WebSettings אחרים, מומלץ להשבית באופן מפורש את השיטות האלה, במיוחד באפליקציות שמטרגטות רמות API שקטנות מ-29 או שוות לו.

סיכון: XSS שמבוסס על קבצים

הגדרת השיטה setJavacriptEnabled ל-TRUE מאפשרת להריץ JavaScript בתוך WebView. בשילוב עם גישה לקבצים שמופעלת כמו שמתואר למעלה, אפשר לבצע XSS מבוסס-קבצים באמצעות הרצת קוד בקבצים שרירותיים או באתרים זדוניים שנפתחים בתוך WebView.

אמצעי צמצום סיכונים

מניעה של טעינת קבצים מקומיים ברכיבי WebView

כמו בסיכון הקודם, אפשר להימנע מ-XSS שמבוסס על קבצים אם הערכים של setAllowFileAccess(), setAllowFileAccessFromFileURLs() ו-setAllowUniversalAccessFromFileURLs() מוגדרים כ-FALSE.

מניעת הרצה של JavaScript ברכיבי WebView

מגדירים את השיטה setJavascriptEnabled ל-FALSE כדי ש-JavaScript לא יוכל לפעול ב-WebViews.

מוודאים שרכיבי WebView לא טוענים תוכן לא מהימן

לפעמים יש צורך להפעיל את ההגדרות האלה ב-WebView. במקרה כזה, חשוב לוודא שנטען רק תוכן מהימן. הגבלת ההרצה של JavaScript רק למה שאתם שולטים בו ואיסור של JavaScript שרירותי היא דרך טובה לוודא שהתוכן מהימן. אחרת, מניעה של טעינת תנועת cleartext מבטיחה שרכיבי WebView עם הגדרות מסוכנות לפחות לא יוכלו לטעון כתובות URL של HTTP. אפשר לעשות זאת דרך המניפסט, על ידי הגדרת android:usesCleartextTraffic ל-False, או על ידי הגדרת Network Security Config שמונעת תנועת HTTP.

משאבים