WebView hijacking (via deeplink)
Si une application se base sur une URL forgé via un deeplink pour ouvrir une WebView, il est parfois possible à la manière d'une open redirect de manipuler l'url afin de contourner la vérification de celle-ci.
Il y a plusieurs possibilités pour cela,
Via un domain takeover
Imaginons qu'une application se base sur une whitelist de domaines et qu'elle oublie de supprimer le domaine de pré production lors de sa mise en production dans l'application. SI le domaine de pré production expire ou est disponible par la suite, il sera alors possible pour un attaquant de l'acheter afin de pouvoir prendre le contrôle des WebView.
Exemple:
private boolean isAuthorisedURL(String url)
{
String [] allowedHosts = {"example.com", "test.com", "staging.site"};
for(String str: allowedHosts)
if (url.equals(str))
return true;
return false;
}
L'application est publié avec le domaine staging.site
d'autorisé (domaine qui n'appartient potentiellement plus à l'entreprise)
Via contournement de validation de l'URL
Pour cela, plusieurs possibilités:
Absence de validation du schéma
Si le schéma n'est pas correctement validé, il peut être possible d'utiliser des schéma sensibles tels que javascript:
ou file:
javascript://target.com/%0aalert(1)//
file://target.com/sdcard/payload.html
Ressources
Dernière mise à jour
Cet article vous a-t-il été utile ?