峰會預告 |是誰推開我的“窗”:iOS App介面安全分析
對於廣大的開發者而言,WebView和URL Scheme並不陌生。WebView一直以來都是iOS的核心元件,而URL Scheme是iOS APP重要的介面之一。
目前,移動客戶端業務需求及開發模式變更越來越多采用WebView渲染頁面,不僅開發成本低,而且易維護。
但缺點也十分明顯,主要體現在WebView可以實現的功能十分有限,絕大多數系統API無法直接呼叫,開發者為了增加WebView功能,不得不新增多個 js 與 Native 程式碼互動介面,系統 API 仍由 Native 程式碼進行呼叫;通過這些介面訪問那些Js無法訪問的資源,比如攝像頭、檔案系統和NFC等等。
隨著功能增加,需要更多應用間的通訊和呼叫,開發者會註冊一個到多個URL Scheme以保證程式間的通訊及相互跳轉,與此同時程式也增加更多的外部可訪問介面。安全隱患隨之接踵而來。
在通過審計大量移動iOS APP後,張一峰先生髮現由於URL Scheme和JSBridge介面設計不當,會導致如遠端Cookie竊取,程式碼執行、遠端沙箱任意檔案上傳等漏洞。
而且由於目前介面安全性研究較少,已有的研究也主要集中在Android系統,忽略了iOS 應用的安全性。
來自長亭科技的安全研究員張一峰先生將在本次2019 SDC峰會上,首次披露 iOS APP URL Scheme和JSBridge介面導致的安全漏洞,並在議題中會詳細介紹漏洞成因和防禦。
嘉賓簡介
張一峰 北京長亭科技移動安全負責人,負責移動APP安全審計、原始碼審計等漏洞挖掘工作。全球網際網路技術大會網路安全專場演講嘉賓 2018華為終端安全獎勵計劃大會圓桌會議嘉賓 2018 DEFCON Demo Labs speaker。
鑽石贊助
黃金贊助
武漢科銳,助力2019 第三屆看雪安全開發者峰會,引航創新!
豹趣科技,助力2019 第三屆看雪安全開發者峰會,引航創新!
贊助
合作
聯絡我們:
13611684418(同微信)
相關文章
- 2019 SDC 議題回顧 | 是誰推開我的“窗”:iOS App介面安全分析iOSAPP
- 峰會預告 | 汽車安全——有效地提取並分析汽車韌體
- 峰會預告 | 工業集散控制系統的脆弱性分析
- 峰會預告 | 安全研究視角看macOS平臺EDR安全能力建設Mac
- 故障分析 | 是誰偷走了我的 IO
- 峰會預告 | Android容器和虛擬化Android
- 2022遊戲安全行業峰會直播預約通道開啟!遊戲行業
- 峰會預告 | 情報為王,TSCM技術反竊密
- 峰會預告 | 基於雲資料的司法取證技術
- 活動預告 | 網易易盾受邀出席7月20日北京舉辦的看雪安全開發者峰會
- HashMap?面試?我是誰?我在哪?HashMap面試
- 峰會預告 | Android漏洞檢測沙箱的設計與實現Android
- 安卓 VS iOS,誰更安全?安卓iOS
- 2015移動安全峰會召開 iOS 8.2越獄即將到來iOS
- 峰會預告 | RDP: 從補丁到遠端程式碼執行
- 雲上創新 | 2021阿里雲峰會直播預告阿里
- 誰告訴你 Flutter 會幹掉原生開發?Flutter
- 我推薦的IOS教程iOS
- 預約開啟!為遊戲護航,2022遊戲安全行業峰會即將開幕遊戲行業
- 我是怎麼讓美女幫我推App的?盤點通過直播平臺推廣App那些事兒APP
- GooglePlay上的WhatsApp竟然是假的,我的APP會不會也是仿冒的?GoAPP
- 機構或企業中誰是網路安全最有力的推動者?
- iOS安全攻防(三):使用Reveal分析他人AppiOSAPP
- 百度雲智峰會預告-智慧運維技術論壇運維
- 誰來取代Google?誰會是下一個歸來的王者?Go
- 2015阿里安全峰會阿里
- Vue開發的電影預告webApp介紹VueWebAPP
- 撥開發展迷霧,將“智慧”嵌入全業務場景【2022戴爾科技峰會預告】
- 雲端計算的左膀右臂將會是誰?
- 商業智慧正在消亡,誰會是商業分析的下一步?
- APP推廣(預期方案)APP
- 如果我是推薦演算法面試官,我會問哪些問題?演算法面試
- 2022遊戲安全行業峰會 議題徵集開啟!遊戲行業
- 白宮舉辦開源安全峰會,眾多科技巨頭參加
- 議題徵集 | 2017 安全開發者峰會
- iOS APP效能分析iOSAPP
- iOS APP安全雜談iOSAPP
- 騰訊安全月報丨釋出六大安全報告、TCTF總決賽舉辦、騰訊全球數字生態大會·CSS峰會召開......CSS