Неправильное доверие к имени файла, предоставленному ContentProvider.

Категория OWASP: MASVS-CODE: Качество кода

Обзор

FileProvider , подкласс ContentProvider , предназначен для предоставления приложению («серверному приложению») безопасного метода обмена файлами с другим приложением («клиентским приложением»). Однако если клиентское приложение неправильно обрабатывает имя файла, предоставленное серверным приложением, контролируемое злоумышленником серверное приложение может реализовать свой собственный вредоносный FileProvider для перезаписи файлов в хранилище клиентского приложения.

Влияние

Если злоумышленник может перезаписать файлы приложения, это может привести к выполнению вредоносного кода (путем перезаписи кода приложения) или позволить иным образом изменить поведение приложения (например, путем перезаписи общих настроек приложения или других файлов конфигурации).

Смягчения

Не доверяйте пользовательскому вводу

Предпочитайте работу без ввода данных пользователем при использовании вызовов файловой системы, генерируя уникальное имя файла при записи полученного файла в хранилище.

Другими словами: когда клиентское приложение записывает полученный файл в хранилище, оно должно игнорировать имя файла, предоставленное серверным приложением, и вместо этого использовать в качестве имени файла свой собственный внутренний уникальный идентификатор.

Этот пример основан на коде, найденном по адресу https://developer.android.com/training/secure-file-sharing/request-file :

Котлин

// Code in
// https://developer.android.com/training/secure-file-sharing/request-file#OpenFile
// used to obtain file descriptor (fd)

try {
    val inputStream = FileInputStream(fd)
    val tempFile = File.createTempFile("temp", null, cacheDir)
    val outputStream = FileOutputStream(tempFile)
    val buf = ByteArray(1024)
    var len: Int
    len = inputStream.read(buf)
    while (len > 0) {
        if (len != -1) {
            outputStream.write(buf, 0, len)
            len = inputStream.read(buf)
        }
    }
    inputStream.close()
    outputStream.close()
} catch (e: IOException) {
    e.printStackTrace()
    Log.e("MainActivity", "File copy error.")
    return
}

Ява

// Code in
// https://developer.android.com/training/secure-file-sharing/request-file#OpenFile
// used to obtain file descriptor (fd)

FileInputStream inputStream = new FileInputStream(fd);

// Create a temporary file
File tempFile = File.createTempFile("temp", null, getCacheDir());

// Copy the contents of the file to the temporary file
try {
    OutputStream outputStream = new FileOutputStream(tempFile))
    byte[] buffer = new byte[1024];
    int length;
    while ((length = inputStream.read(buffer)) > 0) {
        outputStream.write(buffer, 0, length);
    }
} catch (IOException e) {
    e.printStackTrace();
    Log.e("MainActivity", "File copy error.");
    return;
}

Обеззараживать предоставленные имена файлов

Очистите предоставленное имя файла при записи полученного файла в хранилище.

Это смягчение менее желательно, чем предыдущее, поскольку может быть сложно обработать все потенциальные случаи. Тем не менее: если создание уникального имени файла нецелесообразно, клиентское приложение должно очистить предоставленное имя файла. Санитарная обработка включает в себя:

  • Очистка символов обхода пути в имени файла
  • Выполнение канонизации для подтверждения отсутствия обходов путей.

Этот пример кода основан на руководстве по получению информации о файле :

Котлин

protected fun sanitizeFilename(displayName: String): String {
    val badCharacters = arrayOf("..", "/")
    val segments = displayName.split("/")
    var fileName = segments[segments.size - 1]
    for (suspString in badCharacters) {
        fileName = fileName.replace(suspString, "_")
    }
    return fileName
}

val displayName = returnCursor.getString(nameIndex)
val fileName = sanitizeFilename(displayName)
val filePath = File(context.filesDir, fileName).path

// saferOpenFile defined in Android developer documentation
val outputFile = saferOpenFile(filePath, context.filesDir.canonicalPath)

// fd obtained using Requesting a shared file from Android developer
// documentation

val inputStream = FileInputStream(fd)

// Copy the contents of the file to the new file
try {
    val outputStream = FileOutputStream(outputFile)
    val buffer = ByteArray(1024)
    var length: Int
    while (inputStream.read(buffer).also { length = it } > 0) {
        outputStream.write(buffer, 0, length)
    }
} catch (e: IOException) {
    // Handle exception
}

Ява

protected String sanitizeFilename(String displayName) {
    String[] badCharacters = new String[] { "..", "/" };
    String[] segments = displayName.split("/");
    String fileName = segments[segments.length - 1];
    for (String suspString : badCharacters) {
        fileName = fileName.replace(suspString, "_");
    }
    return fileName;
}

String displayName = returnCursor.getString(nameIndex);
String fileName = sanitizeFilename(displayName);
String filePath = new File(context.getFilesDir(), fileName).getPath();

// saferOpenFile defined in Android developer documentation

File outputFile = saferOpenFile(filePath,
    context.getFilesDir().getCanonicalPath());

// fd obtained using Requesting a shared file from Android developer
// documentation

FileInputStream inputStream = new FileInputStream(fd);

// Copy the contents of the file to the new file
try {
    OutputStream outputStream = new FileOutputStream(outputFile))
    byte[] buffer = new byte[1024];
    int length;
    while ((length = inputStream.read(buffer)) > 0) {
        outputStream.write(buffer, 0, length);
    }
} catch (IOException e) {
    // Handle exception
}

Авторы: Димитриос Вальсамарас и Майкл Пек из Microsoft Threat Intelligence

Ресурсы