WebView hijacking (via deeplink)

Si une application se base sur une URL forgé via un deeplink pour ouvrir une WebView, il est parfois possible à la manière d'une open redirect de manipuler l'url afin de contourner la vérification de celle-ci.

Il y a plusieurs possibilités pour cela,

Via un domain takeover

Imaginons qu'une application se base sur une whitelist de domaines et qu'elle oublie de supprimer le domaine de pré production lors de sa mise en production dans l'application. SI le domaine de pré production expire ou est disponible par la suite, il sera alors possible pour un attaquant de l'acheter afin de pouvoir prendre le contrôle des WebView.

Exemple:

private boolean isAuthorisedURL(String url)
    {
        String [] allowedHosts = {"example.com", "test.com", "staging.site"};
        for(String str: allowedHosts)
            if (url.equals(str)) 
                return true;
        
        return false;
    }

L'application est publié avec le domaine staging.site d'autorisé (domaine qui n'appartient potentiellement plus à l'entreprise)

Via contournement de validation de l'URL

Pour cela, plusieurs possibilités:

Absence de validation du schéma

Si le schéma n'est pas correctement validé, il peut être possible d'utiliser des schéma sensibles tels que javascript: ou file:

javascript://target.com/%0aalert(1)//

file://target.com/sdcard/payload.html

Ressources

• https://ash-king.co.uk/blog/facebook-bug-bounty-09-18

• https://valsamaras.medium.com/when-equal-is-not-another-webview-takeover-story-730be8d6e202