OWASP 类别: MASVS-PLATFORM:平台交互
概述
根据文档,ContentResolver是一个“提供应用程序访问内容模型的类”。内容解析器公开方法来交互、获取或修改以下内容提供者提供的内容
- 已安装的应用(
content://URI 方案) - 文件系统(
file://URI 方案) - Android 提供的支持 API(
android.resource://URI 方案)。
总而言之,与ContentResolver相关的漏洞属于混淆代理类,因为攻击者可以使用易受攻击的应用程序的权限来访问受保护的内容。
风险:基于不受信任的 file:// URI 的滥用
使用file:// URI 漏洞滥用ContentResolver会利用ContentResolver返回 URI 描述的文件描述符的功能。此漏洞会影响ContentResolver API中的openFile()、openFileDescriptor()、openInputStream()、openOutputStream()或openAssetFileDescriptor()等功能。可以使用完全或部分由攻击者控制的file:// URI 来滥用此漏洞,强制应用程序访问本不应访问的文件,例如内部数据库或共享首选项。
一种可能的攻击场景是创建一个恶意图库或文件选择器,当易受攻击的应用使用它时,会返回一个恶意 URI。
此攻击有几种变体
- 完全由攻击者控制的
file://URI,指向应用的内部文件 - 部分
file://URI 受攻击者控制,使其容易受到路径遍历的影响 file://URI 针对攻击者控制的符号链接(symlink),指向应用的内部文件- 与前面的变体类似,但在此处,攻击者会反复将符号链接目标从合法目标交换为应用的内部文件。目标是利用潜在的安全检查和文件路径使用之间的竞争条件
影响
利用此漏洞的影响取决于ContentResolver的用途。在许多情况下,它可能导致应用程序的受保护数据被泄露或被未授权方修改。
缓解措施
为了缓解此漏洞,请使用以下算法验证文件描述符。验证通过后,文件描述符即可安全使用。
Kotlin
fun isValidFile(ctx: Context, pfd: ParcelFileDescriptor, fileUri: Uri): Boolean {
// Canonicalize to resolve symlinks and path traversals.
val fdCanonical = File(fileUri.path!!).canonicalPath
val pfdStat: StructStat = Os.fstat(pfd.fileDescriptor)
// Lstat doesn't follow the symlink.
val canonicalFileStat: StructStat = Os.lstat(fdCanonical)
// Since we canonicalized (followed the links) the path already,
// the path shouldn't point to symlink unless it was changed in the
// meantime.
if (OsConstants.S_ISLNK(canonicalFileStat.st_mode)) {
return false
}
val sameFile =
pfdStat.st_dev == canonicalFileStat.st_dev &&
pfdStat.st_ino == canonicalFileStat.st_ino
if (!sameFile) {
return false
}
return !isBlockedPath(ctx, fdCanonical)
}
fun isBlockedPath(ctx: Context, fdCanonical: String): Boolean {
// Paths that should rarely be exposed
if (fdCanonical.startsWith("/proc/") ||
fdCanonical.startsWith("/data/misc/")) {
return true
}
// Implement logic to block desired directories. For example, specify
// the entire app data/ directory to block all access.
}
Java
boolean isValidFile(Context ctx, ParcelFileDescriptor pfd, Uri fileUri) {
// Canonicalize to resolve symlinks and path traversals
String fdCanonical = new File(fileUri.getPath()).getCanonicalPath();
StructStat pfdStat = Os.fstat(pfd.getFileDescriptor());
// Lstat doesn't follow the symlink.
StructStat canonicalFileStat = Os.lstat(fdCanonical);
// Since we canonicalized (followed the links) the path already,
// the path shouldn't point to symlink unless it was changed in the meantime
if (OsConstants.S_ISLNK(canonicalFileStat.st_mode)) {
return false;
}
boolean sameFile =
pfdStat.stDev == canonicalFileStat.stDev && pfdStat.stIno == canonicalFileStat.stIno;
if (!sameFile) {
return false;
}
return !isBlockedPath(ctx, fdCanonical);
}
boolean isBlockedPath(Context ctx, String fdCanonical) {
// Paths that should rarely be exposed
if (fdCanonical.startsWith("/proc/") || fdCanonical.startsWith("/data/misc/")) {
return true;
}
// Implement logic to block desired directories. For example, specify
// the entire app data/ directory to block all access.
}
风险:基于不受信任的content:// URI的滥用
当将完全或部分由攻击者控制的URI传递给ContentResolver API 以操作本不应访问的内容时,就会发生使用content:// URI漏洞的ContentResolver滥用。
这种攻击主要有两种场景
- 应用程序操作其自身内部内容。例如:在从攻击者处获取URI后,邮件应用程序会附加其自身内部内容提供程序中的数据,而不是外部照片。
- 应用程序充当代理,然后为攻击者访问另一个应用程序的数据。例如:邮件应用程序附加来自应用程序X的数据,这些数据受权限保护,通常不允许攻击者查看该特定附件。它可用于进行附件的应用程序,但最初不可用,因此会将此内容转发给攻击者。
一种可能的攻击场景是创建一个恶意图库或文件选择器,当易受攻击的应用程序使用它时,它会返回恶意URI。
影响
利用此漏洞的影响取决于与ContentResolver相关的上下文。这可能导致应用程序的受保护数据被泄露或被未授权方修改。
缓解措施
常规
验证传入的URI。例如,使用预期授权的白名单是一种良好的实践。
URI目标属于易受攻击应用程序的非导出或权限保护的内容提供程序
检查URI是否指向您的应用程序
Kotlin
fun belongsToCurrentApplication(ctx: Context, uri: Uri): Boolean {
val authority: String = uri.authority.toString()
val info: ProviderInfo =
ctx.packageManager.resolveContentProvider(authority, 0)!!
return ctx.packageName.equals(info.packageName)
}
Java
boolean belongsToCurrentApplication(Context ctx, Uri uri){
String authority = uri.getAuthority();
ProviderInfo info = ctx.getPackageManager().resolveContentProvider(authority, 0);
return ctx.getPackageName().equals(info.packageName);
}
或者目标提供程序是否已导出
Kotlin
fun isExported(ctx: Context, uri: Uri): Boolean {
val authority = uri.authority.toString()
val info: ProviderInfo =
ctx.packageManager.resolveContentProvider(authority, 0)!!
return info.exported
}
Java
boolean isExported(Context ctx, Uri uri){
String authority = uri.getAuthority();
ProviderInfo info = ctx.getPackageManager().resolveContentProvider(authority, 0);
return info.exported;
}
或者是否已授予对URI的显式权限——此检查基于这样的假设:如果已授予访问数据的显式权限,则URI并非恶意。
Kotlin
// grantFlag is one of: FLAG_GRANT_READ_URI_PERMISSION or FLAG_GRANT_WRITE_URI_PERMISSION
fun wasGrantedPermission(ctx: Context, uri: Uri?, grantFlag: Int): Boolean {
val pid: Int = Process.myPid()
val uid: Int = Process.myUid()
return ctx.checkUriPermission(uri, pid, uid, grantFlag) ==
PackageManager.PERMISSION_GRANTED
}
Java
// grantFlag is one of: FLAG_GRANT_READ_URI_PERMISSION or FLAG_GRANT_WRITE_URI_PERMISSION
boolean wasGrantedPermission(Context ctx, Uri uri, int grantFlag){
int pid = Process.myPid();
int uid = Process.myUid();
return ctx.checkUriPermission(uri, pid, uid, grantFlag) == PackageManager.PERMISSION_GRANTED;
}
URI目标属于另一个信任易受攻击应用程序的权限保护的内容提供程序。
此攻击与以下情况相关
- 应用程序生态系统,其中应用程序定义和使用自定义权限或其他身份验证机制。
- 权限代理攻击,攻击者滥用持有运行时权限(例如READ_CONTACTS)的易受攻击应用程序来从系统提供程序检索数据。
测试是否已授予URI权限
Kotlin
// grantFlag is one of: FLAG_GRANT_READ_URI_PERMISSION or FLAG_GRANT_WRITE_URI_PERMISSION
fun wasGrantedPermission(ctx: Context, uri: Uri?, grantFlag: Int): Boolean {
val pid: Int = Process.myPid()
val uid: Int = Process.myUid()
return ctx.checkUriPermission(uri, pid, uid, grantFlag) ==
PackageManager.PERMISSION_GRANTED
}
Java
// grantFlag is one of: FLAG_GRANT_READ_URI_PERMISSION or FLAG_GRANT_WRITE_URI_PERMISSION
boolean wasGrantedPermission(Context ctx, Uri uri, int grantFlag){
int pid = Process.myPid();
int uid = Process.myUid();
return ctx.checkUriPermission(uri, pid, uid, grantFlag) == PackageManager.PERMISSION_GRANTED;
}
如果使用其他内容提供程序不需要权限授予——例如,当应用程序允许生态系统中的所有应用程序访问所有数据时——则明确禁止使用这些授权。