Categoria do OWASP: MASVS-CODE - Qualidade do código (link em inglês)
Visão geral
O FileProvider, uma subclasse de ContentProvider, tem como objetivo fornecer um método seguro para um app ("aplicativo de servidor") a fim de compartilhar arquivos com outro app ("aplicativo cliente"). No entanto, se o aplicativo cliente não processar corretamente o nome de arquivo fornecido pelo aplicativo de servidor, um aplicativo de servidor controlado por invasores poderá implementar o próprio FileProvider malicioso para substituir arquivos no armazenamento específico do aplicativo cliente.
Impacto
Se um invasor conseguir substituir os arquivos de um app, isso poderá levar à execução de código malicioso, substituindo o código do aplicativo, ou permitir a modificação do comportamento do app, por exemplo, substituindo as preferências compartilhadas do aplicativo ou de outros arquivos de configuração.
Mitigações
Não confiar na entrada do usuário
Prefira trabalhar sem a entrada do usuário quando usar chamadas do sistema de arquivos gerando um nome exclusivo ao gravar o arquivo recebido no armazenamento.
Em outras palavras, quando o aplicativo cliente grava o arquivo recebido no armazenamento, ele precisa ignorar o nome de arquivo fornecido pelo aplicativo de servidor e usar o próprio identificador exclusivo gerado internamente como o nome do arquivo.
Este exemplo se baseia no código encontrado em https://developer.android.com/training/secure-file-sharing/request-file:
Kotlin
// Code in
// https://developer.android.com/training/secure-file-sharing/request-file#OpenFile
// used to obtain file descriptor (fd)
try {
val inputStream = FileInputStream(fd)
val tempFile = File.createTempFile("temp", null, cacheDir)
val outputStream = FileOutputStream(tempFile)
val buf = ByteArray(1024)
var len: Int
len = inputStream.read(buf)
while (len > 0) {
if (len != -1) {
outputStream.write(buf, 0, len)
len = inputStream.read(buf)
}
}
inputStream.close()
outputStream.close()
} catch (e: IOException) {
e.printStackTrace()
Log.e("MainActivity", "File copy error.")
return
}
Java
// Code in
// https://developer.android.com/training/secure-file-sharing/request-file#OpenFile
// used to obtain file descriptor (fd)
FileInputStream inputStream = new FileInputStream(fd);
// Create a temporary file
File tempFile = File.createTempFile("temp", null, getCacheDir());
// Copy the contents of the file to the temporary file
try {
OutputStream outputStream = new FileOutputStream(tempFile))
byte[] buffer = new byte[1024];
int length;
while ((length = inputStream.read(buffer)) > 0) {
outputStream.write(buffer, 0, length);
}
} catch (IOException e) {
e.printStackTrace();
Log.e("MainActivity", "File copy error.");
return;
}
Limpar os nomes de arquivos fornecidos
Limpe o nome de arquivo fornecido ao gravar o arquivo recebido no armazenamento.
Essa mitigação é menos desejável do que a anterior, porque pode ser difícil lidar com todos os casos em potencial. No entanto, se não for prático gerar um nome de arquivo exclusivo, o aplicativo cliente precisará limpar o nome de arquivo fornecido. A limpeza inclui:
- Limpeza de caracteres de travessia de caminhos no nome de arquivo
- Canonização para confirmar que não há travessias de caminhos
Este código de exemplo se baseia na orientação sobre como recuperar informações de arquivos:
Kotlin
protected fun sanitizeFilename(displayName: String): String {
val badCharacters = arrayOf("..", "/")
val segments = displayName.split("/")
var fileName = segments[segments.size - 1]
for (suspString in badCharacters) {
fileName = fileName.replace(suspString, "_")
}
return fileName
}
val displayName = returnCursor.getString(nameIndex)
val fileName = sanitizeFilename(displayName)
val filePath = File(context.filesDir, fileName).path
// saferOpenFile defined in Android developer documentation
val outputFile = saferOpenFile(filePath, context.filesDir.canonicalPath)
// fd obtained using Requesting a shared file from Android developer
// documentation
val inputStream = FileInputStream(fd)
// Copy the contents of the file to the new file
try {
val outputStream = FileOutputStream(outputFile)
val buffer = ByteArray(1024)
var length: Int
while (inputStream.read(buffer).also { length = it } > 0) {
outputStream.write(buffer, 0, length)
}
} catch (e: IOException) {
// Handle exception
}
Java
protected String sanitizeFilename(String displayName) {
String[] badCharacters = new String[] { "..", "/" };
String[] segments = displayName.split("/");
String fileName = segments[segments.length - 1];
for (String suspString : badCharacters) {
fileName = fileName.replace(suspString, "_");
}
return fileName;
}
String displayName = returnCursor.getString(nameIndex);
String fileName = sanitizeFilename(displayName);
String filePath = new File(context.getFilesDir(), fileName).getPath();
// saferOpenFile defined in Android developer documentation
File outputFile = saferOpenFile(filePath,
context.getFilesDir().getCanonicalPath());
// fd obtained using Requesting a shared file from Android developer
// documentation
FileInputStream inputStream = new FileInputStream(fd);
// Copy the contents of the file to the new file
try {
OutputStream outputStream = new FileOutputStream(outputFile))
byte[] buffer = new byte[1024];
int length;
while ((length = inputStream.read(buffer)) > 0) {
outputStream.write(buffer, 0, length);
}
} catch (IOException e) {
// Handle exception
}
Colaboradores: Dimitrios Valsamaras e Michael Peck da Microsoft Threat Intelligence
Recursos
- Ataque de fluxo sujo: como transformar destinos de compartilhamento do Android em vetores de ataque (link em inglês)
- Compartilhamento seguro de arquivos
- Solicitar um arquivo compartilhado
- Recuperar informações
- FileProvider
- Travessia de caminhos
- Controle externo do CWE-73 do nome de arquivo ou caminho (link em inglês)