search

Exfiltration de données

hashtag
Description

setAllowUniversalAccessFromFileURLs permet à JavaScript de s'exécuter dans le contexte de l'URL du schéma de fichiers pour accéder au contenu de n'importe quelle origine, y compris d'autres URL de schéma de fichiers.

Ce paramètre supprime toutes les restrictions de politique d'origine et permet à WebVIew d'effectuer des requêtes sur le Web à partir du fichier, ce qui n'est normalement pas possible. L'attaquant peut ainsi lire des fichiers locaux à l'aide de javascript et les envoyer sur le Web vers un domaine contrôlé par l'attaquant.

hashtag
Détection

hashtag
Code source

import android.webkit.WebChromeClient;
import android.webkit.WebView;
import android.webkit.WebViewClient;
import androidx.appcompat.app.AppCompatActivity;

/* loaded from: classes.dex */
public class RegistrationWebView extends AppCompatActivity {
    /* JADX INFO: Access modifiers changed from: protected */
    @Override // androidx.appcompat.app.AppCompatActivity, androidx.fragment.app.FragmentActivity, androidx.activity.ComponentActivity, androidx.core.app.ComponentActivity, android.app.Activity
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_registration_web_view);
        setTitle("Registration page");
        loadWebView();
    }

    private void loadWebView() {
        WebView webView = (WebView) findViewById(R.id.webview);
        webView.setWebChromeClient(new WebChromeClient() { // from class: com.tmh.vulnwebview.RegistrationWebView.1
            @Override // android.webkit.WebChromeClient
            public boolean onConsoleMessage(ConsoleMessage consoleMessage) {
                Log.d("MyApplication", consoleMessage.message() + " -- From line " + consoleMessage.lineNumber() + " of " + consoleMessage.sourceId());
                return true;
            }
        });
        webView.setWebViewClient(new WebViewClient());
        webView.getSettings().setAllowUniversalAccessFromFileURLs(true);
        webView.getSettings().setJavaScriptEnabled(true);
        if (getIntent().getExtras().getBoolean("is_reg", false)) {
            webView.loadUrl("file:///android_asset/registration.html");
        } else {
            webView.loadUrl(getIntent().getStringExtra("reg_url"));
        }
    }
}

On peut constater ici à la ligne 27 la présence de la fonction setAllowUniversalAccessFromFileURLs(true)

hashtag
Exploitation

Pour exploiter la vulnérabilité, il nouc faut créer un exploit en javascript qui va être appelé par l'application et qui va permettre d'exfiltrer des données locales vers un serveur attaquant.

Pour ceci voici un PoC simple:

hashtag
Décomposition de l'exploit

  • Déclaration de la variable contenant le chemin vers le fichier local souhaité

  • Déclaration d'une fonction load prenant comme paramètre la variable préalablement définie

  • Utilisation d'XMLHttpRequest pour l'envoie de la requête HTTP au serveur attaquant

  • Lien vers le serveur attaquant + encodage en base64

  • Fin de la requête et envoie

  • Appel de la fonction load avec la variable url comme paramètre

hashtag
Execution de l'exploit

Il nous reste maintenant à envoyer l'exploit comme ceci avec drozer:

PrécédentWebView HijackingSuivantRXSS

Mis à jour