Confiança inadequada do nome do arquivo fornecido pelo ContentProvider

Categoria do OWASP: MASVS-CODE - Qualidade do código (link em inglês)

Visão geral

O FileProvider, uma subclasse de ContentProvider, tem como objetivo fornecer um método seguro para um app ("aplicativo de servidor") a fim de compartilhar arquivos com outro app ("aplicativo cliente"). No entanto, se o aplicativo cliente não processar corretamente o nome de arquivo fornecido pelo aplicativo de servidor, um aplicativo de servidor controlado por invasores poderá implementar o próprio FileProvider malicioso para substituir arquivos no armazenamento específico do aplicativo cliente.

Impacto

Se um invasor conseguir substituir os arquivos de um app, isso poderá levar à execução de código malicioso, substituindo o código do aplicativo, ou permitir a modificação do comportamento do app, por exemplo, substituindo as preferências compartilhadas do aplicativo ou de outros arquivos de configuração.

Mitigações

Não confiar na entrada do usuário

Prefira trabalhar sem a entrada do usuário quando usar chamadas do sistema de arquivos gerando um nome exclusivo ao gravar o arquivo recebido no armazenamento.

Em outras palavras, quando o aplicativo cliente grava o arquivo recebido no armazenamento, ele precisa ignorar o nome de arquivo fornecido pelo aplicativo de servidor e usar o próprio identificador exclusivo gerado internamente como o nome do arquivo.

Este exemplo se baseia no código encontrado em https://developer.android.com/training/secure-file-sharing/request-file:

Kotlin

// Code in
// https://developer.android.com/training/secure-file-sharing/request-file#OpenFile
// used to obtain file descriptor (fd)

try {
    val inputStream = FileInputStream(fd)
    val tempFile = File.createTempFile("temp", null, cacheDir)
    val outputStream = FileOutputStream(tempFile)
    val buf = ByteArray(1024)
    var len: Int
    len = inputStream.read(buf)
    while (len > 0) {
        if (len != -1) {
            outputStream.write(buf, 0, len)
            len = inputStream.read(buf)
        }
    }
    inputStream.close()
    outputStream.close()
} catch (e: IOException) {
    e.printStackTrace()
    Log.e("MainActivity", "File copy error.")
    return
}

Java

// Code in
// https://developer.android.com/training/secure-file-sharing/request-file#OpenFile
// used to obtain file descriptor (fd)

FileInputStream inputStream = new FileInputStream(fd);

// Create a temporary file
File tempFile = File.createTempFile("temp", null, getCacheDir());

// Copy the contents of the file to the temporary file
try {
    OutputStream outputStream = new FileOutputStream(tempFile))
    byte[] buffer = new byte[1024];
    int length;
    while ((length = inputStream.read(buffer)) > 0) {
        outputStream.write(buffer, 0, length);
    }
} catch (IOException e) {
    e.printStackTrace();
    Log.e("MainActivity", "File copy error.");
    return;
}

Limpar os nomes de arquivos fornecidos

Limpe o nome de arquivo fornecido ao gravar o arquivo recebido no armazenamento.

Essa mitigação é menos desejável do que a anterior, porque pode ser difícil lidar com todos os casos em potencial. No entanto, se não for prático gerar um nome de arquivo exclusivo, o aplicativo cliente precisará limpar o nome de arquivo fornecido. A limpeza inclui:

  • Limpeza de caracteres de travessia de caminhos no nome de arquivo
  • Canonização para confirmar que não há travessias de caminhos

Este código de exemplo se baseia na orientação sobre como recuperar informações de arquivos:

Kotlin

protected fun sanitizeFilename(displayName: String): String {
    val badCharacters = arrayOf("..", "/")
    val segments = displayName.split("/")
    var fileName = segments[segments.size - 1]
    for (suspString in badCharacters) {
        fileName = fileName.replace(suspString, "_")
    }
    return fileName
}

val displayName = returnCursor.getString(nameIndex)
val fileName = sanitizeFilename(displayName)
val filePath = File(context.filesDir, fileName).path

// saferOpenFile defined in Android developer documentation
val outputFile = saferOpenFile(filePath, context.filesDir.canonicalPath)

// fd obtained using Requesting a shared file from Android developer
// documentation

val inputStream = FileInputStream(fd)

// Copy the contents of the file to the new file
try {
    val outputStream = FileOutputStream(outputFile)
    val buffer = ByteArray(1024)
    var length: Int
    while (inputStream.read(buffer).also { length = it } > 0) {
        outputStream.write(buffer, 0, length)
    }
} catch (e: IOException) {
    // Handle exception
}

Java

protected String sanitizeFilename(String displayName) {
    String[] badCharacters = new String[] { "..", "/" };
    String[] segments = displayName.split("/");
    String fileName = segments[segments.length - 1];
    for (String suspString : badCharacters) {
        fileName = fileName.replace(suspString, "_");
    }
    return fileName;
}

String displayName = returnCursor.getString(nameIndex);
String fileName = sanitizeFilename(displayName);
String filePath = new File(context.getFilesDir(), fileName).getPath();

// saferOpenFile defined in Android developer documentation

File outputFile = saferOpenFile(filePath,
    context.getFilesDir().getCanonicalPath());

// fd obtained using Requesting a shared file from Android developer
// documentation

FileInputStream inputStream = new FileInputStream(fd);

// Copy the contents of the file to the new file
try {
    OutputStream outputStream = new FileOutputStream(outputFile))
    byte[] buffer = new byte[1024];
    int length;
    while ((length = inputStream.read(buffer)) > 0) {
        outputStream.write(buffer, 0, length);
    }
} catch (IOException e) {
    // Handle exception
}

Colaboradores: Dimitrios Valsamaras e Michael Peck da Microsoft Threat Intelligence

Recursos