MASTG-TEST-0253: Uso em Tempo de Execução de APIs de Acesso a Arquivos Locais em WebViews

Visão Geral

Este teste é a contraparte dinâmica do Referências de Acesso a Arquivos Locais em WebViews.

Passos

1. Execute uma ferramenta de análise dinâmica como Frida para iOS e:
   • enumere as instâncias de WebView no aplicativo e liste seus valores de configuração
   • ou conecte explicitamente os setters das configurações do WebView

Observação

A saída deve conter uma lista de instâncias de WebView e as configurações correspondentes.

Avaliação

Falha:

O teste falha se todas as seguintes condições forem verdadeiras:

• AllowFileAccess é true.
• AllowFileAccessFromFileURLs é true.
• AllowUniversalAccessFromFileURLs é true.

Observação: AllowFileAccess sendo true não representa uma vulnerabilidade de segurança por si só, mas pode ser usado em combinação com outras vulnerabilidades para escalar o impacto de um ataque. Portanto, é recomendado defini-lo explicitamente como false se o aplicativo não precisar acessar arquivos locais.

Aprovação:

O teste é aprovado se qualquer uma das seguintes condições for verdadeira:

• AllowFileAccess é false.
• AllowFileAccessFromFileURLs é false.
• AllowUniversalAccessFromFileURLs é false.

Mitigations

• Use Up-to-Date minSdkVersion
• Carregar Conteúdo de Arquivo com Segurança em um WebView
• Desativar JavaScript em WebViews

Demos

MASTG-DEMO-0031: Usos de WebViews Permitindo Acesso a Arquivos Locais com Frida