Voltar ao catalogoFE-08
Capacitor sem allowNavigation whitelist e sem certificate pinning
HighAchado ConfirmadoFrontendRodada 4
Evidencia
`angular/capacitor.config.ts` — sem `allowNavigation` e sem configuracao de certificate pinning.
Impacto Tecnico
O WebView do Capacitor pode navegar para qualquer dominio, permitindo ataques de phishing via deep links. Sem certificate pinning, ataques MITM com certificado comprometido nao sao detectados.
Impacto de Negocio
Possibilidade de captura de credenciais via phishing in-app ou interceptacao de dados em transito.
Recomendacao
Configurar allowNavigation: ["acesso.cargofleet.app.br", "api.cargofleet.app.br"]. Implementar certificate pinning para o dominio da API.
Arquivos Afetados
angular/capacitor.config.ts
Acoes Relacionadas
{
"id": "FE-08",
"title": "Capacitor sem allowNavigation whitelist e sem certificate pinning",
"severity": "High",
"type": "achado confirmado",
"category": "frontend",
"description": "Ausencia de `allowNavigation` (lista de dominios permitidos para navegacao no WebView) e ausencia de configuracao de certificate pinning para comunicacao com a API.",
"evidence": "`angular/capacitor.config.ts` — sem `allowNavigation` e sem configuracao de certificate pinning.",
"technicalImpact": "O WebView do Capacitor pode navegar para qualquer dominio, permitindo ataques de phishing via deep links. Sem certificate pinning, ataques MITM com certificado comprometido nao sao detectados.",
"businessImpact": "Possibilidade de captura de credenciais via phishing in-app ou interceptacao de dados em transito.",
"recommendation": "Configurar `allowNavigation: [\"acesso.cargofleet.app.br\", \"api.cargofleet.app.br\"]`. Implementar certificate pinning para o dominio da API.",
"files": [
"angular/capacitor.config.ts"
],
"pass": 4,
"relatedActions": [
"ACT-7.2.5"
]
}
Descricao
Ausencia de
allowNavigation(lista de dominios permitidos para navegacao no WebView) e ausencia de configuracao de certificate pinning para comunicacao com a API.