文/ SuperHei(知道创宇404安全实验室)

0x01 前言

这个是今年我在KCON 2016上的演讲题目,这个漏洞我最早在今年的4月份报告给了苹果公司一直没有得到修复进度等反馈。在刚刚发布的iOS 10里已经不 受这个漏洞影响了,所以这里直接把细节再次和大家一起分享一下。

0x02 漏洞描述

这个漏洞主要是在iOS对于URL Scheme及其在UIWebView等控件的自动诊断识别等处理机制下导致跨应用XSS漏洞。

0x03 漏洞详情

iOS下的URLScheme存在几个特点:

  1. iOS 下URL Schemes全局有效且只需安装app即可生效。

  2. iOS下的URL Schemes的链接会被UITextView或者UIWebView的Detection Links属性识别为链接。

我们先看第2点的具体处理机制“UIWebView的Detection Links属性识别为链接”,也就是说你输入的任何URL Scheme连接都会被解析html里的a标签的调用:

scheme:// —> <a  href="scheme://"></a >

对XSS漏洞很熟悉的同学,很可能就会想到2个方向:

  1. 通过双引号闭合使用事件来执行js 经过测试在上引号出现在scheme里不会被识别,所以这个思路不通。
  2. 利用javascript:// 伪协议执行js

在主流的浏览器内核有2种方法调用,最常见的方法:

<a href='javascript:alert(1)'>knownsec 404</a>

还有另外一种格式方法很少有人正规使用:

<a href='javascript://%0a%0dalert(1)'>knownsec 404</a>

注意:与://的区别,也就是这种非常见的方式导致了很多程序的漏洞,比如前面曝光的iMessage的XSS漏洞(CVE-2016-1764)

所以这个“BadURLScheme”就是javascript了,我们回到前面提到的iOS下的URLScheme的第一个特点,当用户安装了一个注册了javascript这个URL Scheme的任意app后,如果其他的app里使用了UIWebView并且设置了Detection Links属性识别,那么在这些app里输入文本内容:

javascript://%0a%0dalert(1)

会被Detection Links属性解析为<a>调用:

<a dir="ltr" href="javascript://%0a%0dalert(1)" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="5">javascript://%0a%0dalert(1)</a>

成而导致这些app的XSS漏洞。

0x04 实际案列

要触发漏洞需要满足2个条件:首先用户需要下载安装一个注册了javascript这个URL Scheme的app [只要求安装就行],一般的方法主要攻击者写一注 册了javascript这个URL Scheme的app利用短信、微信等社会工程学手段引诱用户下载安装,另外的方法就是现有app市场上有对应注册了javascript这个 URL Scheme的app,实际上这种案列也是有的,比如:

Maxthon Cloud Web Browser - Best Internet Explore Experience by Maxthon Technology Limited

也就是安装了Maxthon浏览器的用户很可能会受到影响。另外一个条件就是需要被攻击的app使用UIWebView并且设置了Detection Links属性,在我们实际 中发现满足这一条件的app是非常多的,比如:微信(已修复)、QQ邮箱(已修复)、outlook、印象笔记、知乎等

0x05 漏洞演示

http://v.qq.com/x/page/x0328nwv6ju.html

0x06 漏洞披露

在这个漏洞发现只是其实存在很多疑惑的对方:“A系统上安装了B家的软件导致了C家软件被攻击,请问这个是谁家的漏洞?应该报告给谁?”经过分析后我认为是iOS的漏洞,对于Maxthon来说他也算是正规使用URL Scheme,对于那些受影响比较大的C们我还是选择了同时报告

  • 2016.4.12 报告给product-security@apple.com 4.15收到邮件确认收到报告,后续没有收到任何关于漏洞的修复计划。
  • 2016.4.11 报告给TSRC,得到了TSRC的积极反馈。并陆续修复处理了报告里提到的受BadURLScheme影响的app。
  • 2016.4.12 报告给MSRC,收到MSRC反馈改漏洞认定为iOS漏洞已经与苹果公司沟通,outlook一直没做处理
  • 2016.8.27 KCON 2016演讲《BadURLScheme in iOS》
  • 2016.9.14 苹果发布iOS 10升级,测试不受BadURLScheme漏洞影响
  • 2016.9.14 BadURLScheme in iOS细节对外全面公开

致谢

最后感谢 呆神、@ogc557、@windknown、@dm557、@Daniel_K4、吕耀佳(行之)、TSRC提供的各种帮助


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/42/