2014SyScan360——ios瀏覽器安全討論
責編:admin |2014-07-17 18:54:292014年7月16日,由SyScan主辦,360公司承辦的SyScan360國際前瞻信息安全會議隆重召開。今天,作為本次大會的最后一天,將有更加精彩的內容呈現給與會者。據悉,今天將有6個議題逐一呈現給大家,此外也將宣布特斯拉破解的最終結果以及電子門卡的破解活動。
互聯網的普及,瀏覽器已經成為人們不可或缺的工具。根據StatCounter的數據顯示,今年來自手機與平板電腦的網絡流量占據了總量的30%,而該報告還顯示Android和iOS的流量超過了OSX和Windows8,因而吸引了一些公司來開發蘋果移動平臺的瀏覽器產品。其中一些廠商使用了代理渲染方案,還有一些廠商為了達到更完整靈活的用戶體驗而選擇繞過UIWebView組件的限制。
因此在今天的會議上,Lukasz Pilorz和Pawel Wylecial則給大家帶來了有關IOS瀏覽器的安全問題。他們在這個議題中討論了iOS中第三方開發瀏覽器是如何開發出來的。內容包含了UIWebView的主要能力和限制,瀏覽器開發者會添加的常見功能,以及會導致存在安全漏洞的常見設計與編程缺陷。他們還披露了Mobile Safari和UIWebView本身的安全弱點,并討論iOS8新的WebKit API——WKWebView。
Lukasz Pilorz談到:目前提到iOS瀏覽器,一般就是移動版的Safari。現階段iOS有一個審查的綱要,我們要使用網絡瀏覽網頁的程序,必須使用iOS Webkit框架。此外目前有很多APPStore有很多的瀏覽器,還有移動終端上使用的瀏覽器,還有瀏覽器都是圍繞安全解決方案來開發的,但是他們的工作原理基本上都差不多。
在iOS方面,iOS8我們已經解決了很多UIWebView以前版本的很多問題,當然還有一些配置的偏好問題,我們用JAVA stript ,還有用戶內容的控制器,還有導航的執行,還有Uidalegate。我們還有URL,這是內容特性,內容屬性方面的,這樣會比較快、比較容易做這些工作,現在瀏覽器當中還有一些內容是缺失的。
此外Pawel Wylecial也表示通過測試發現目前有50%的瀏覽器都有漏洞和弱點,比如卡巴斯基、海豚等瀏覽器都有問題的。這其中不光是針對iOS,還有Chrome也是有問題的。有一些報錯當中,有一些是不存在的主頁,找到我們目標的網站,然后找到SSL的錯誤。我們找到分域的時候,來進行欺詐、欺騙。另外在移動瀏覽器中,很多JAVA腳本里面都有問題,有時候Windows open close可以抑制報警。
有關下載的問題Lukasz Pilorz認為iOS上面和在桌面上是有不同的對待,在iOS5之前,基本上它是被忽略了,它是在托管一方源那里去顯示,而iOS5以后這個漏洞已經被修復,這些文檔就不會去訪問惡意域當中的cookies,它可以給這些域提供一些HTmol(音)放慢的請求。但是如果你的瀏覽器采用了定制的政策的話,也有可能去執行這樣的同源政策。另外對于內容和類型來說,它的內容也會受到不同的對待,在iOS7之前,文本基本上都是明文。如果你在Safari里面打開這樣的網頁,它會要求你在另外的應用程序里面打開這個文件,因為通常這種文件的類型他是不支持的。如果你有一個文件是在HTML文件當中打開的,然后又在一個URL、Webdata里面打開怎么辦呢?也就是如果它是沒有同源策略的JAVA scripts,你可以有帶有cookie 網絡上用。你可以用不同的設備來打開文件。
最后Lukasz Pilorz也對SSL和密碼管理進行了闡述。Lukasz Pilorz提到:在默認的情況下,當你加載一個請求,而這個請求有無效的SSL證書的時候,那么沒有用戶交互就會被拒絕。實際上SSL是需要有用戶,有可能接受的自簽名證書,這樣他就可以實施SSL的支持。我們所測試的情況有14%的瀏覽器,我想測試一些瀏覽器自簽名的SSL證書被默認的接收。用戶沒有這樣一些確認,可以能夠來接受了。
關于密碼管理,他則認為:密碼管理是使用JAVA scripts來實施的,它同樣有一些權限。因為UIWebView會擅長做一些地域的強迫存儲,我們目前對一些網頁有要求,目前還不能夠強迫它去存儲一些密碼,針對一些其他的網站,它目前正在使用網站,還有一些不合法的網站,對于某些人來說你可以強迫瀏覽器對其它域進行存儲密碼,有一些要求用戶互動的,有一些是不需要的。
Pawel Wylecial坦言:從理論來說,這樣一些網站因為有瀏覽器存儲用戶的密碼,最與一些瀏覽器最嚴重的問題,它沒有查對這些密碼,但并不一定是URL的方案。填完密碼,如果你要來點回車,這是Https而不是http的,目前我們沒有看到真正的修復確認,我只好把演示跳過去。
你們可以看到對于API來說,它并不允許瀏覽器既有安全性,又有功能性,這樣的話API是非常困難的,來構建一個安全的密碼器,即使建立這樣的瀏覽器是很難的。所以我們iOS8得到了很大的改進。如果你是用戶,你還想來考慮你是否愿意由一些瀏覽器在一些其它邊緣項目來實施,這里面并沒有太多非常安全的iOS瀏覽器從第三方所構建來看。
比如說你可以嘗試一下我們的測試內容的網站,它基本的東西只要是行得通的,如果你要負責公司的安全工作,你還想考慮一下瀏覽器是跟一些異動設備管理捆綁在一起的瀏覽器,它是否有一些類似的漏洞在里面。