摘自:蒸米@乌云知识库
$ I( c7 F. z$ Y; b, T/ r3 T; @2 f* w
0x00 前言+ k& s' j& N2 ?
微博:weibo.com/zhengmin1989
! l. O( V" ]# P6 n X" b |2 \1 l0 a- H: n1 E3 b' h2 F
- 该漏洞是 iOS 系统漏洞,和支付宝,微信 app 无关。本文只是拿支付宝和微 信作为演示漏洞的应用,其他应用同样可以中招,转发者请勿断章取义。& ~3 `- @ J' C6 L
- 此漏洞是另一 个漏洞,和“在非越狱的 iPhone 6 (iOS 8.1.3) 上进行钓鱼攻击 (盗取 App Store 密码)”上利 用的漏洞无关,本人不会干用一个漏洞写两个文章灌水的事情。
4 ]+ u/ T4 t- s2 ^5 c: r/ _ 该漏洞最早是由我在 FireEye 的同事 hui, Song jin 和 lenx 发现的,因为该漏洞利用简单,修 复却非常复杂,所以在 iOS 8.2 上还是未能修复。虽然 iOS 尚未修复,但 app 本身还是可以 有防护的方法,本人在文章最后会提出一些应急的解决方案以供开发人员参考。
4 h8 i9 e6 j! w
z4 ?- d% U. x8 O0x01 DEMO0 W7 V8 N0 T9 H, R" J
首先来看 demo: 在未越狱的 iPhone6(iOS 8.2)上盗取支付宝帐号密码。 Youtube(需翻墙): 腾讯视频
4 R9 ], F, h$ }1 \5 y: _+ x$ K$ u) @4 K/ b) R; z r
1 G2 S/ [4 L$ f: k& R5 d2 I8 O
在未越狱的 iPhone6(iOS 8.2)上盗取微信支付密码。 Youtube(需翻墙) 腾讯视频& ?" @" `% L \
1 @7 v+ x) l; R& N
1 c8 `3 i3 v- l1 t0 h
0x02 DEMO 细节分析(支付宝)
7 \* J6 u# `" V7 u在 iOS 上,一个应用可以将其自身”绑定”到一个自定义 URL Scheme 上,该 scheme 用于 从浏览器或其他应用中启动该应用。这个设计非常类似于 android 上的 broadcast 和 broadcast receiver,但远远没有 android 上的复杂。美团利用支付宝付款的整个过程如图一所示:美团 首先将订单信息通过 URL Scheme 发送给 Alipay,Alipay 收到订单信息,调用支付界面,用户 在 Alipay 上完成支付后,Alipay 再发送一个 URL Scheme 给美团,美团收到付款信息后,显 示团购成功的界面。& q- @/ s9 F' h& B
iOS URL Scheme 劫持-在未越狱的 iPhone 6上盗取支付宝和微信支付的帐号密码| →『网 ...
( g+ R8 S3 u9 m% T* ] N0 u7 \图一、正常支付流程
' K- G# ^) q9 |' Z* ]但因为 URL scheme 这个机制太简单了,完全没有考虑有多个 app 声明同一个 URL Scheme 的情况,也没有权限管理之类的方案。在 iOS 官方说明中:“在多个应用程序注册了同一种 URLScheme 的时候,iOS 系统程序的优先级高于第三方开发程序。但是如果一种URLScheme 的注册应用程序都是第三方开发的,那么这些程序的优先级关系是不确定的。”实际上,经 过我们的测试,这个顺序是和 Bundle ID 有关的,如果精心构造 Bundle ID,iOS 总是会调用 我们 app 的 URL Scheme 去接收相应的 URL Scheme 请求。那么问题来了,如果我们精心构 造一个 app 并声明“alipay”这个 URL Scheme 会怎么样呢?( g( v1 M6 F# P2 v$ z8 y5 n9 G4 E
结果就如 demo 中所演示的那样,后安装的 FakeAlipay 应用劫持了美团与支付宝之间的支付 流程,并且可以在用户毫无意识情况下获取用户的帐号,支付密码,以及帮用户完成支付。 整个过程如图二所示:FakeAlipay 在收到美团发来的订单信息后,构造了一个和支付宝一样 的登陆界面,用户在输入了帐号密码后,FakeAlipay 会把帐号密码以及订单信息发送到黑客 的服务器上,黑客在获得了这些信息后,可以在自己的 iOS 设备上完成支付,并把支付成功 的 URL Scheme 信息发回给 FakeAlipay,FakeAlipay 再把支付成功的 URL Scheme 信息转发给 美团。因为时间原因,demo 做得比较粗糙,没有做转发信息给美团这一部分的演示,但绝 对是可行的。# j+ ]! G/ d* I2 ~
iOS URL Scheme 劫持-在未越狱的 iPhone 6上盗取支付宝和微信支付的帐号密码| →『网 ...
5 a" _/ b7 k0 i) g) L
图二、劫持后的支付流程9 G8 @$ L. ?1 [- D3 b: G
这种攻击可以成功的原因除了 iOS 本身的漏洞外,支付宝也有一定的责任。那就是发给支付 宝的订单信息并不是绑定当前设备的。因为这个原因,黑客可以在其他的 iOS 设备上完成支 付。 同样是因为不绑定当前设备的问题,黑客甚至可以先在自己的设备上生成好订单,然 后在用户打开支付宝支付的时候把订单替换掉,让用户给黑客的订单买单。
; r5 D& ~: j) Z0x03 DEMO 细节分析(微信)* H8 s% a/ B1 p# B) c( u* N# h( n$ c5 ^
基本上和支付宝一样,不过支付时只需要提供 6 位支付密码,如 果想要得到微信帐号密码的话,还需要构造一个假的登陆界面。当然了,你可能会说有短信 验证,但是如果整个登录界面都是伪造的话,用户也会乖乖的帮你输入短信验证码的。并且, 在 iOS 8.1 之前,iOS 的短信也存在监控漏洞,具体请参考我们 ASIACCS 的论文。
( N1 K' e* R0 d. o: t; W好吧,讲到这里肯定又有人说:你的漏洞是挺严重的,但还是得往我机器上装 app 啊。我从 来不用什么 pp 助手,同步推之类的,也不装什么企业应用,平时只在 AppStore 上下载,因 为有苹果的审核,所以我肯定不会中招的。呵呵,苹果的审核真的信得过么?请看第二个 demo: Google Chrome URL Scheme 劫持0 s2 o! ^. F# l4 `3 J: V, ^' c- h
Youtube(需翻墙) 腾讯视频0 [3 d& N' v! l- Q% }
8 F( l4 r4 N+ ^3 v
9 f) R9 {$ a% Q0 |
iOS URL Scheme 劫持-在未越狱的 iPhone 6上盗取支付宝和微信支付的帐号密码| →『网 ...
# B7 t! p( @: P) U7 h% A) G- Z
图三、Google Chrome URL Scheme 劫持
; b% |: _0 x8 P8 Z+ O' QGoogle 公司不比阿里差吧?Google Chrome 可以算是 Google 在 iOS 上最重要的应用之一了吧? 可惜的是,在该 demo 中 Google 公司的 Chrome 应用已经非常不幸的被 App Store 下载的 app 劫持掉了。如图三所示:演示用的 app 会利用 Google Chrome 的 URL Scheme 去打开 Google.com 这个网站。在机器上只安装 Chrome 的情况下,app 会跳转到 Chrome 打开 Google.com。但是当我们在 App Store 下载完一个叫 BASCOM Browser 的 app 之后,app 却会 跳转到 BASCOM Browser 打开 Google.com。经过统计,App Store 上有大量的应用声明了 Chrome 以及 FaceBook 的 URL scheme,并且他们的开发者并不属于 Google 和 Facebook。这 说明 Apple 根本就没有保护那些热门应用的 URL Scheme 的想法,上传的 App 无论声明什么样的 URL Scheme,苹果都会通过审核的。所以说,不光 Chrome,Facebook 有危险,支付宝, 微信啥的也逃不过这一劫。
+ a4 M* A* G9 n2 R5 C0x04 解决方案/ x1 y1 m: t- ?) [. x# g, p# Y8 a4 @
1. 针对 iOS 系统。
2 |9 H3 Y$ E- _# J! ]5 T因为 Bundle ID 在 App Store 上是唯一的(类似 Android 上的 package name)苹果可以限制 iOS 应用不能注册别的应用的 Bundle ID 作为 URL Scheme。这 样的话,使用自己的 Bundle ID 作为 URL Scheme 的接收器就会变的安全很多。) Z2 {6 s% x2 b1 m) J( ~
2. 针对第三方应用
) }: I4 Y+ W) ]1 ]$ X4 L, B既然苹果不发布补丁保护第三方应用。第三方应用就没有办法了么? 不是的,这里至少有两种方法可以检测自己应用的 URL Scheme 是否被 Hijack:' G% a) B& x2 w m. `! E8 m% V
(1)、应用本 身可以发送一条 URL Scheme 请求给自己,如果自己可以接收到的话,说明 URL Scheme 没 有被劫持,如果不能收到的话,就说明被劫持了,这时候可以提醒用户卸载有冲突的 app。
5 ]# ?* c m9 u7 S& W2 Z代码如下:
' Z+ t) J# l2 R6 l[pre][[UIApplication sharedApplication] openURL:[NSURL URLWithString:@“alipay://test“]];[/pre](2)、利用 MobileCoreServices 服务中的 applicationsAvailableForHandlingURLScheme()方法可以 所有注册了该 URL Schemes 的应用和处理顺序,随后应用就可以检测自己,或者别人的 URL Scheme 是否被劫持了。代码如下:1 _4 k; T0 V6 `9 h! G
[pre]Class LSApplicationWorkspace_class = objc_getClass("LSApplicationWorkspace");NSObject* workspace =[LSApplicationWorkspace_class performSelector:@selector(defaultWorkspace)]; NSLog(@"openURL: %@",[workspace performSelector:@selector(applicationsAvailableForHandli ngURLScheme:)withObject:@"alipay"]);[/pre]在任意 app 下运行这个函数,可以返回 URL 处理的顺序,比如运行结果是:- N& ]# \: c* L k
[pre]2015-03-18 15:34:37.695 GetAllApp[13719:1796928] openURL: ("<LSApplicationProxy: 0x156610010> com.mzheng.GetAllApp", "<LSApplicationProxy: 0x1566101f0> com.mzheng.Alipay", "<LSApplicationProxy: 0x15660fc30> com.alipay.iphoneclient")[/pre]说明有三个 app 都声名了 alipay 这个 URL shceme,并且会处理这个请求的是 "com.mzheng.GetAllApp",而不是支付宝。
! j' M! C2 t$ @' F9 e d0x05 文章更新
4 i/ d: X* C4 v6 I# o& i刚说完支付宝,微信逃不过这一劫,我们已经在 App Store 上发现了 劫持了支付宝的真实案例。
/ w) a$ f% G* e/ n3 D来看 demo: 战旗 TV 劫持支付宝 URL Scheme Youku:
6 ^. V# m7 x. @9 {) X: g+ @) [5 N8 d' K0 D9 @4 n4 u
' P- t& J& ]# i6 ?
当用户想要使用支付宝支付的时候,却跳转到了战旗 TV。这里想问一下战旗 TV,你到底想 要干些什么呢?:-)
4 [8 ^5 g( p5 t( r* z: z8 ePS:各大公司是不是要开始推送 iOS 手机安全助手了?7 q3 m$ P5 f3 I& `- _$ q
2015/03/23文章更新:战旗tv已经得到反馈,正在紧急修复bug。' C' f7 d% V- g6 g+ G: Y. Y, D
0x06 参考文献:1 `2 r! M& w* h+ R% T0 A7 a
1.iOS Masque Attack: LINK& q$ b2 C1 J; c. ~# W+ i9 x0 r
 2.Min Zheng, Hui Xue, Yulong Zhang, Tao Wei, John C.S. Lui "Enpublic Apps: Security Threats Using iOS Enterprise and Developer Certificates", ACM Symposium on Information, Computer and Communications Security (ASIACCS'15), Singapore, April 2015
1 H' I5 l; l: S3 i5 F/ Z4 A' M3.在非越狱的 iPhone 6 (iOS 8.1.3) 上进行钓鱼攻击 (盗取 App Store 密码): LINK |
|
拥抱AI搜索新时代!GEO优化成为企业流量增505网络资讯
GEO优化如何让企业流量翻倍?404网络资讯
GEO优化,企业抢占流量高地的制胜法宝404网络资讯
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
悔悟卡
匿名卡