查看原文
其他

峰会预告 |是谁推开我的“窗”:iOS App接口安全分析

2019 SDC 看雪学院 2019-09-18

对于广大的开发者而言,WebView和URL Scheme并不陌生。WebView一直以来都是iOS的核心组件,而URL Scheme是iOS APP重要的接口之一。



目前,移动客户端业务需求及开发模式变更越来越多采用WebView渲染页面,不仅开发成本低,而且易维护。

 

但缺点也十分明显,主要体现在WebView可以实现的功能十分有限,绝大多数系统API无法直接调用,开发者为了增加WebView功能,不得不添加多个 js 与 Native 代码交互接口,系统 API 仍由 Native 代码进行调用;通过这些接口访问那些Js无法访问的资源,比如摄像头、文件系统和NFC等等。

 


随着功能增加,需要更多应用间的通信和调用,开发者会注册一个到多个URL Scheme以保证程序间的通信及相互跳转,与此同时程序也增加更多的外部可访问接口。安全隐患随之接踵而来。


在通过审计大量移动iOS APP后,张一峰先生发现由于URL Scheme和JSBridge接口设计不当,会导致如远程Cookie窃取,代码执行、远程沙箱任意文件上传等漏洞。


而且由于目前接口安全性研究较少,已有的研究也主要集中在Android系统,忽略了iOS 应用的安全性。

 

来自长亭科技的安全研究员张一峰先生将在本次2019 SDC峰会上,首次披露 iOS APP URL Scheme和JSBridge接口导致的安全漏洞,并在议题中会详细介绍漏洞成因和防御。




 张一峰 北京长亭科技移动安全负责人,负责移动APP安全审计、源码审计等漏洞挖掘工作。全球互联网技术大会网络安全专场演讲嘉宾 2018华为终端安全奖励计划大会圆桌会议嘉宾 2018 DEFCON Demo Labs speaker。





立即购票,到现场聆听完整议题!



识别二维码,立享2.5折优惠!



更多 | 精彩议题

峰会预告 | 安全研究视角看macOS平台EDR安全能力建设



▼▼▼

▼▼



训练营正在火热报名中🔥





钻石赞助


黄金赞助


武汉科锐,助力2019 第三届看雪安全开发者峰会,引航创新!

豹趣科技,助力2019 第三届看雪安全开发者峰会,引航创新!



赞助

合作

联系我们:

13611684418(同微信)







戳原文,立即优惠购票!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存