文/ SuperHei(知道创宇404安全实验室)
这个是今年我在KCON 2016上的演讲题目,这个漏洞我最早在今年的4月份报告给了苹果公司一直没有得到修复进度等反馈。在刚刚发布的iOS 10里已经不 受这个漏洞影响了,所以这里直接把细节再次和大家一起分享一下。
这个漏洞主要是在iOS对于URL Scheme及其在UIWebView等控件的自动诊断识别等处理机制下导致跨应用XSS漏洞。
iOS下的URLScheme存在几个特点:
iOS 下URL Schemes全局有效且只需安装app即可生效。
iOS下的URL Schemes的链接会被UITextView或者UIWebView的Detection Links属性识别为链接。
我们先看第2点的具体处理机制“UIWebView的Detection Links属性识别为链接”,也就是说你输入的任何URL Scheme连接都会被解析html里的a标签的调用:
scheme:// —> <a … href="scheme://"> … </a >
对XSS漏洞很熟悉的同学,很可能就会想到2个方向:
javascript:// 伪协议执行js 在主流的浏览器内核有2种方法调用,最常见的方法:
<a href='javascript:alert(1)'>knownsec 404</a>
还有另外一种格式方法很少有人正规使用:
<a href='javascript://%0a%0dalert(1)'>knownsec 404</a>
注意:与://的区别,也就是这种非常见的方式导致了很多程序的漏洞,比如前面曝光的iMessage的XSS漏洞(CVE-2016-1764)
所以这个“BadURLScheme”就是javascript了,我们回到前面提到的iOS下的URLScheme的第一个特点,当用户安装了一个注册了javascript这个URL Scheme的任意app后,如果其他的app里使用了UIWebView并且设置了Detection Links属性识别,那么在这些app里输入文本内容:
javascript://%0a%0dalert(1)
会被Detection Links属性解析为<a>调用:
<a dir="ltr" href="javascript://%0a%0dalert(1)" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="5">javascript://%0a%0dalert(1)</a>
成而导致这些app的XSS漏洞。
要触发漏洞需要满足2个条件:首先用户需要下载安装一个注册了javascript这个URL Scheme的app [只要求安装就行],一般的方法主要攻击者写一注 册了javascript这个URL Scheme的app利用短信、微信等社会工程学手段引诱用户下载安装,另外的方法就是现有app市场上有对应注册了javascript这个 URL Scheme的app,实际上这种案列也是有的,比如:
Maxthon Cloud Web Browser - Best Internet Explore Experience by Maxthon Technology Limited
也就是安装了Maxthon浏览器的用户很可能会受到影响。另外一个条件就是需要被攻击的app使用UIWebView并且设置了Detection Links属性,在我们实际 中发现满足这一条件的app是非常多的,比如:微信(已修复)、QQ邮箱(已修复)、outlook、印象笔记、知乎等
http://v.qq.com/x/page/x0328nwv6ju.html
在这个漏洞发现只是其实存在很多疑惑的对方:“A系统上安装了B家的软件导致了C家软件被攻击,请问这个是谁家的漏洞?应该报告给谁?”经过分析后我认为是iOS的漏洞,对于Maxthon来说他也算是正规使用URL Scheme,对于那些受影响比较大的C们我还是选择了同时报告
致谢
最后感谢 呆神、@ogc557、@windknown、@dm557、@Daniel_K4、吕耀佳(行之)、TSRC提供的各种帮助