峰會預告 |是誰推開我的“窗”:iOS App介面安全分析
對於廣大的開發者而言,WebView和URL Scheme並不陌生。WebView一直以來都是iOS的核心元件,而URL Scheme是iOS APP重要的介面之一。
目前,移動客戶端業務需求及開發模式變更越來越多采用WebView渲染頁面,不僅開發成本低,而且易維護。
但缺點也十分明顯,主要體現在WebView可以實現的功能十分有限,絕大多數系統API無法直接呼叫,開發者為了增加WebView功能,不得不新增多個 js 與 Native 程式碼互動介面,系統 API 仍由 Native 程式碼進行呼叫;通過這些介面訪問那些Js無法訪問的資源,比如攝像頭、檔案系統和NFC等等。
隨著功能增加,需要更多應用間的通訊和呼叫,開發者會註冊一個到多個URL Scheme以保證程式間的通訊及相互跳轉,與此同時程式也增加更多的外部可訪問介面。安全隱患隨之接踵而來。
在通過審計大量移動iOS APP後,張一峰先生髮現由於URL Scheme和JSBridge介面設計不當,會導致如遠端Cookie竊取,程式碼執行、遠端沙箱任意檔案上傳等漏洞。
而且由於目前介面安全性研究較少,已有的研究也主要集中在Android系統,忽略了iOS 應用的安全性。
來自長亭科技的安全研究員張一峰先生將在本次2019 SDC峰會上,首次披露 iOS APP URL Scheme和JSBridge介面導致的安全漏洞,並在議題中會詳細介紹漏洞成因和防禦。
嘉賓簡介
張一峰 北京長亭科技移動安全負責人,負責移動APP安全審計、原始碼審計等漏洞挖掘工作。全球網際網路技術大會網路安全專場演講嘉賓 2018華為終端安全獎勵計劃大會圓桌會議嘉賓 2018 DEFCON Demo Labs speaker。
鑽石贊助
黃金贊助
武漢科銳,助力2019 第三屆看雪安全開發者峰會,引航創新!
豹趣科技,助力2019 第三屆看雪安全開發者峰會,引航創新!
贊助
合作
聯絡我們:
13611684418(同微信)
相關文章
- 2019 SDC 議題回顧 | 是誰推開我的“窗”:iOS App介面安全分析iOSAPP
- 峰會預告 | IoT中的SE晶片安全晶片
- 峰會預告 | 汽車安全——有效地提取並分析汽車韌體
- 峰會預告 | 工業集散控制系統的脆弱性分析
- 故障分析 | 是誰偷走了我的 IO
- 峰會預告 | 安全研究視角看macOS平臺EDR安全能力建設Mac
- 2022遊戲安全行業峰會直播預約通道開啟!遊戲行業
- 峰會預告 | Android容器和虛擬化Android
- 活動預告 | 網易易盾受邀出席7月20日北京舉辦的看雪安全開發者峰會
- 雲上創新 | 2021阿里雲峰會直播預告阿里
- 安卓 VS iOS,誰更安全?安卓iOS
- iOS APP效能分析iOSAPP
- 峰會預告 | 基於雲資料的司法取證技術
- 峰會預告 | Android漏洞檢測沙箱的設計與實現Android
- iOS APP安全雜談iOSAPP
- 科銳受邀出席2018安全開發者峰會
- 預約開啟!為遊戲護航,2022遊戲安全行業峰會即將開幕遊戲行業
- 共築安全生態 小米IoT安全峰會順利召開
- HashMap?面試?我是誰?我在哪?HashMap面試
- iOS APP包分析工具iOSAPP
- 峰會預告 | 情報為王,TSCM技術反竊密
- 誰告訴你 Flutter 會幹掉原生開發?Flutter
- 峰會預告 | RDP: 從補丁到遠端程式碼執行
- iOS 原生 App 是怎麼 deselectRow 的iOSAPP
- 愛加密受邀出席2018安全開發者峰會,讓智慧世界更安全加密
- 2022遊戲安全行業峰會 議題徵集開啟!遊戲行業
- iOS APP安全雜談之二iOSAPP
- iOS APP安全雜談之三iOSAPP
- 百度雲智峰會預告-智慧運維技術論壇運維
- 是誰,推動了WCG的“死後復生”?
- iOS開發之彈窗管理iOS
- 商業智慧正在消亡,誰會是商業分析的下一步?
- 2018第三屆SSC安全峰會議題徵集開始啦!
- 安全開發·數智未來 | vivo,助力第七屆安全開發者峰會(2023 SDC)
- 撥開發展迷霧,將“智慧”嵌入全業務場景【2022戴爾科技峰會預告】
- ios買球app推薦 蘋果手機買球的app有哪些iOSAPP蘋果
- ISC 2021雲峰會:聚焦車聯網安全,推動智慧網聯車產業革新產業
- 安全開發·數智未來 | 極氪,助力第七屆安全開發者峰會(2023 SDC)