首页
论坛
专栏
课程

峰会预告 |是谁推开我的“窗”:iOS App接口安全分析

Editor 发布于 看雪学院 2019-07-18 13:21


对于广大的开发者而言,WebView和URL Scheme并不陌生。WebView一直以来都是iOS的核心组件,而URL Scheme是iOS APP重要的接口之一。



目前,移动客户端业务需求及开发模式变更越来越多采用WebView渲染页面,不仅开发成本低,而且易维护。


但缺点也十分明显,主要体现在WebView可以实现的功能十分有限,绝大多数系统API无法直接调用,开发者为了增加WebView功能,不得不添加多个 js 与 Native 代码交互接口,系统 API 仍由 Native 代码进行调用;通过这些接口访问那些Js无法访问的资源,比如摄像头、文件系统和NFC等等。



随着功能增加,需要更多应用间的通信和调用,开发者会注册一个到多个URL Scheme以保证程序间的通信及相互跳转,与此同时程序也增加更多的外部可访问接口。安全隐患随之接踵而来。


在通过审计大量移动iOS APP后,张一峰先生发现由于URL Scheme和JSBridge接口设计不当,会导致如远程Cookie窃取,代码执行、远程沙箱任意文件上传等漏洞。


而且由于目前接口安全性研究较少,已有的研究也主要集中在Android系统,忽略了iOS 应用的安全性。

来自长亭科技的安全研究员张一峰先生将在本次2019 SDC峰会上,首次披露 iOS APP URL Scheme和JSBridge接口导致的安全漏洞,并在议题中会详细介绍漏洞成因和防御。


嘉宾简介


 
张一峰 北京长亭科技移动安全负责人,负责移动APP安全审计、源码审计等漏洞挖掘工作。全球互联网技术大会网络安全专场演讲嘉宾 2018华为终端安全奖励计划大会圆桌会议嘉宾 2018 DEFCON Demo Labs speaker。






钻石赞助


黄金赞助


武汉科锐,助力2019 第三届看雪安全开发者峰会,引航创新!

豹趣科技,助力2019 第三届看雪安全开发者峰会,引航创新!



赞助

合作

联系我们:

13611684418(同微信)





分享到:
最新评论 (1)
mb_fgkxtggm 2月前
1
登录后即可评论