iOS Custom URI Handlers / Deeplinks / Custom Schemes
To jest podsumowanie związanych informacji z https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-TEST-0075/
Podstawowe informacje
Niestandardowe schematy URL umożliwiają aplikacjom komunikację za pomocą niestandardowego protokołu, jak szczegółowo opisano w dokumentacji dewelopera Apple. Te schematy muszą być zadeklarowane przez aplikację, która następnie obsługuje przychodzące URL-e zgodnie z tymi schematami. Kluczowe jest walidowanie wszystkich parametrów URL oraz odrzucanie wszelkich źle sformułowanych URL-i, aby zapobiec atakom przez ten wektor.
Podano przykład, w którym URI myapp://hostname?data=123876123
wywołuje określoną akcję aplikacji. Zauważona podatność występowała w aplikacji Skype Mobile, która umożliwiała nieautoryzowane akcje połączeń za pomocą protokołu skype://
. Zarejestrowane schematy można znaleźć w Info.plist
aplikacji w sekcji CFBundleURLTypes
. Złośliwe aplikacje mogą to wykorzystać, ponownie rejestrując URI, aby przechwytywać wrażliwe informacje.
Rejestracja schematów zapytań aplikacji
Od iOS 9.0, aby sprawdzić, czy aplikacja jest dostępna, canOpenURL:
wymaga zadeklarowania schematów URL w Info.plist
w sekcji LSApplicationQueriesSchemes
. Ogranicza to schematy, które aplikacja może zapytać do 50, zwiększając prywatność poprzez zapobieganie enumeracji aplikacji.
Testing URL Handling and Validation
Programiści powinni zbadać konkretne metody w kodzie źródłowym, aby zrozumieć konstrukcję i walidację ścieżek URL, takie jak application:didFinishLaunchingWithOptions:
i application:openURL:options:
. Na przykład, Telegram wykorzystuje różne metody do otwierania URL-i:
Testowanie żądań URL do innych aplikacji
Metody takie jak openURL:options:completionHandler:
są kluczowe do otwierania URL-i w celu interakcji z innymi aplikacjami. Identyfikacja użycia takich metod w kodzie źródłowym aplikacji jest kluczowa dla zrozumienia komunikacji zewnętrznej.
Testowanie przestarzałych metod
Przestarzałe metody obsługujące otwieranie URL-i, takie jak application:handleOpenURL:
i openURL:
, powinny być zidentyfikowane i przeanalizowane pod kątem implikacji bezpieczeństwa.
Fuzzing schematów URL
Fuzzing schematów URL może zidentyfikować błędy związane z uszkodzeniem pamięci. Narzędzia takie jak Frida mogą zautomatyzować ten proces, otwierając URL-e z różnymi ładunkami w celu monitorowania awarii, co ilustruje manipulacja URL-ami w aplikacji iGoat-Swift:
References
Last updated