2014年7月16日,由SyScan主办,360公司承办的SyScan360国际前瞻信息安全会议隆重召开。今天,作为本次大会的最后一天,将有更加精彩的内容呈现给与会者。据悉,今天将有6个议题逐一呈现给大家,此外也将宣布特斯拉破解的最终结果以及电子门卡的破解活动。
互联网的普及,浏览器已经成为人们不可或缺的工具。根据StatCounter的数据显示,今年来自手机与平板电脑的网络流量占据了总量的30%,而该报告还显示Android和iOS的流量超过了OSX和Windows8,因而吸引了一些公司来开发苹果移动平台的浏览器产品。其中一些厂商使用了代理渲染方案,还有一些厂商为了达到更完整灵活的用户体验而选择绕过UIWebView组件的限制。
因此在今天的会议上,Lukasz Pilorz和Pawel Wylecial则给大家带来了有关IOS浏览器的安全问题。他们在这个议题中讨论了iOS中第三方开发浏览器是如何开发出来的。内容包含了UIWebView的主要能力和限制,浏览器开发者会添加的常见功能,以及会导致存在安全漏洞的常见设计与编程缺陷。他们还披露了Mobile Safari和UIWebView本身的安全弱点,并讨论iOS8新的WebKit API——WKWebView。
Lukasz Pilorz谈到:目前提到iOS浏览器,一般就是移动版的Safari。现阶段iOS有一个审查的纲要,我们要使用网络浏览网页的程序,必须使用iOS Webkit框架。此外目前有很多APPStore有很多的浏览器,还有移动终端上使用的浏览器,还有浏览器都是围绕安全解决方案来开发的,但是他们的工作原理基本上都差不多。
在iOS方面,iOS8我们已经解决了很多UIWebView以前版本的很多问题,当然还有一些配置的偏好问题,我们用JAVA stript ,还有用户内容的控制器,还有导航的执行,还有Uidalegate。我们还有URL,这是内容特性,内容属性方面的,这样会比较快、比较容易做这些工作,现在浏览器当中还有一些内容是缺失的。
此外Pawel Wylecial也表示通过测试发现目前有50%的浏览器都有漏洞和弱点,比如卡巴斯基、海豚等浏览器都有问题的。这其中不光是针对iOS,还有Chrome也是有问题的。有一些报错当中,有一些是不存在的主页,找到我们目标的网站,然后找到SSL的错误。我们找到分域的时候,来进行欺诈、欺骗。另外在移动浏览器中,很多JAVA脚本里面都有问题,有时候Windows open close可以抑制报警。
有关下载的问题Lukasz Pilorz认为iOS上面和在桌面上是有不同的对待,在iOS5之前,基本上它是被忽略了,它是在托管一方源那里去显示,而iOS5以后这个漏洞已经被修复,这些文档就不会去访问恶意域当中的cookies,它可以给这些域提供一些HTmol(音)放慢的请求。但是如果你的浏览器采用了定制的政策的话,也有可能去执行这样的同源政策。另外对于内容和类型来说,它的内容也会受到不同的对待,在iOS7之前,文本基本上都是明文。如果你在Safari里面打开这样的网页,它会要求你在另外的应用程序里面打开这个文件,因为通常这种文件的类型他是不支持的。如果你有一个文件是在HTML文件当中打开的,然后又在一个URL、Webdata里面打开怎么办呢?也就是如果它是没有同源策略的JAVA scripts,你可以有带有cookie 网络上用。你可以用不同的设备来打开文件。
最后Lukasz Pilorz也对SSL和密码管理进行了阐述。Lukasz Pilorz提到:在默认的情况下,当你加载一个请求,而这个请求有无效的SSL证书的时候,那么没有用户交互就会被拒绝。实际上SSL是需要有用户,有可能接受的自签名证书,这样他就可以实施SSL的支持。我们所测试的情况有14%的浏览器,我想测试一些浏览器自签名的SSL证书被默认的接收。用户没有这样一些确认,可以能够来接受了。
关于密码管理,他则认为:密码管理是使用JAVA scripts来实施的,它同样有一些权限。因为UIWebView会擅长做一些地域的强迫存储,我们目前对一些网页有要求,目前还不能够强迫它去存储一些密码,针对一些其他的网站,它目前正在使用网站,还有一些不合法的网站,对于某些人来说你可以强迫浏览器对其它域进行存储密码,有一些要求用户互动的,有一些是不需要的。
Pawel Wylecial坦言:从理论来说,这样一些网站因为有浏览器存储用户的密码,最与一些浏览器最严重的问题,它没有查对这些密码,但并不一定是URL的方案。填完密码,如果你要来点回车,这是Https而不是http的,目前我们没有看到真正的修复确认,我只好把演示跳过去。
你们可以看到对于API来说,它并不允许浏览器既有安全性,又有功能性,这样的话API是非常困难的,来构建一个安全的密码器,即使建立这样的浏览器是很难的。所以我们iOS8得到了很大的改进。如果你是用户,你还想来考虑你是否愿意由一些浏览器在一些其它边缘项目来实施,这里面并没有太多非常安全的iOS浏览器从第三方所构建来看。
比如说你可以尝试一下我们的测试内容的网站,它基本的东西只要是行得通的,如果你要负责公司的安全工作,你还想考虑一下浏览器是跟一些异动设备管理捆绑在一起的浏览器,它是否有一些类似的漏洞在里面。