Alexandria电子书阅读器中的文件访问问题分析

Alexandria是一款开源的电子书阅读器软件，近期被发现存在一个安全问题，可能允许特殊制作的电子书访问用户系统中的文件。本文将深入分析该问题的技术原理、潜在影响以及修复方案。

问题原理

该问题的核心在于两个关键配置方面：

1. 脚本执行权限：Alexandria使用了epub.js库来渲染电子书内容，并启用了allowScriptedContent = true选项，这使得电子书中的JavaScript代码能够被执行。

2. 文件访问范围：软件配置了Tauri框架的asset协议，但使用了通配符路径规则，导致任何用户可访问的文件都能通过该协议被访问。

当这两个条件结合时，制作者可以制作包含特定JavaScript代码的电子书。用户打开这类电子书后，其中的脚本可以利用asset协议访问系统上的文件，并通过网络请求将数据传出。

技术细节

执行环境分析

Alexandria使用iframe来展示电子书内容，虽然设置了sandbox属性，但同时启用了allow-same-origin和allow-scripts。根据浏览器安全模型，这种组合实际上会削弱沙箱的保护效果。

访问方式

制作者可以通过以下步骤利用该问题：

1. 在电子书中嵌入JavaScript代码
2. 代码通过fetch或XMLHttpRequest访问asset协议
3. 访问系统文件(如SSH密钥、配置文件等)
4. 通过HTTP请求将数据传出

示例代码非常简单，只需几行JavaScript就能实现文件访问和传输功能。

影响评估

该问题需要用户主动打开特殊制作的电子书才能触发，属于中等风险问题。可能的使用场景包括：

• 通过非官方电子书网站分发特殊书籍
• 在线电子书转换服务被修改并注入特定代码
• 针对特定用户的定向操作

虽然需要用户交互，但由于电子书阅读器通常被信任，用户可能不会对打开电子书产生警惕。

修复方案

项目维护者采取了以下改进措施：

1. 内容安全策略(CSP)：添加了严格的CSP规则，阻止所有外部网络请求，有效防止数据传出。

2. 协议访问限制：考虑限制asset协议的访问范围，仅允许访问必要的目录。

3. 脚本执行控制：虽然目前保留了脚本执行功能(因页面交互需求)，但结合CSP可以有效降低风险。

安全建议

对于类似电子书阅读器项目的开发者，建议：

1. 谨慎评估脚本执行需求，必要时提供用户可控的开关选项
2. 实施严格的内容安全策略
3. 限制文件系统访问范围
4. 定期进行安全检查

对于最终用户，建议：

1. 仅从可信来源获取电子书
2. 保持软件更新至最新版本
3. 对异常行为保持警惕

该案例展示了即使在使用沙箱等安全机制时，配置不当仍可能导致安全问题。多层防御和安全配置审查是构建安全应用的关键。