2014SyScan360——ios浏览器安全讨论

2014年7月16日，由SyScan主办，360公司承办的SyScan360国际前瞻信息安全会议隆重召开。今天，作为本次大会的***一天，将有更加精彩的内容呈现给与会者。据悉，今天将有6个议题逐一呈现给大家，此外也将宣布特斯拉破解的最终结果以及电子门卡的破解活动。

互联网的普及，浏览器已经成为人们不可或缺的工具。根据StatCounter的数据显示，今年来自手机与平板电脑的网络流量占据了总量的30%，而该报告还显示Android和iOS的流量超过了OSX和Windows8，因而吸引了一些公司来开发苹果移动平台的浏览器产品。其中一些厂商使用了代理渲染方案，还有一些厂商为了达到更完整灵活的用户体验而选择绕过UIWebView组件的限制。

因此在今天的会议上，Lukasz Pilorz和Pawel Wylecial则给大家带来了有关IOS浏览器的安全问题。他们在这个议题中讨论了iOS中第三方开发浏览器是如何开发出来的。内容包含了UIWebView的主要能力和限制，浏览器开发者会添加的常见功能，以及会导致存在安全漏洞的常见设计与编程缺陷。他们还披露了Mobile Safari和UIWebView本身的安全弱点，并讨论iOS8新的WebKit API——WKWebView。

Lukasz Pilorz谈到：目前提到iOS浏览器，一般就是移动版的Safari。现阶段iOS有一个审查的纲要，我们要使用网络浏览网页的程序，必须使用iOS Webkit框架。此外目前有很多APPStore有很多的浏览器，还有移动终端上使用的浏览器，还有浏览器都是围绕安全解决方案来开发的，但是他们的工作原理基本上都差不多。

在iOS方面，iOS8我们已经解决了很多UIWebView以前版本的很多问题，当然还有一些配置的偏好问题，我们用JAVA stript ，还有用户内容的控制器，还有导航的执行，还有Uidalegate。我们还有URL，这是内容特性，内容属性方面的，这样会比较快、比较容易做这些工作，现在浏览器当中还有一些内容是缺失的。

此外Pawel Wylecial也表示通过测试发现目前有50%的浏览器都有漏洞和弱点，比如卡巴斯基、海豚等浏览器都有问题的。这其中不光是针对iOS，还有Chrome也是有问题的。有一些报错当中，有一些是不存在的主页，找到我们目标的网站，然后找到SSL的错误。我们找到分域的时候，来进行欺诈、欺骗。另外在移动浏览器中，很多JAVA脚本里面都有问题，有时候Windows open close可以抑制报警。

有关下载的问题Lukasz Pilorz认为iOS上面和在桌面上是有不同的对待，在iOS5之前，基本上它是被忽略了，它是在托管一方源那里去显示，而iOS5以后这个漏洞已经被修复，这些文档就不会去访问恶意域当中的cookies，它可以给这些域提供一些HTmol(音)放慢的请求。但是如果你的浏览器采用了定制的政策的话，也有可能去执行这样的同源政策。另外对于内容和类型来说，它的内容也会受到不同的对待，在iOS7之前，文本基本上都是明文。如果你在Safari里面打开这样的网页，它会要求你在另外的应用程序里面打开这个文件，因为通常这种文件的类型他是不支持的。如果你有一个文件是在HTML文件当中打开的，然后又在一个URL、Webdata里面打开怎么办呢?也就是如果它是没有同源策略的JAVA scripts，你可以有带有cookie 网络上用。你可以用不同的设备来打开文件。

***Lukasz Pilorz也对SSL和密码管理进行了阐述。Lukasz Pilorz提到：在默认的情况下，当你加载一个请求，而这个请求有无效的SSL证书的时候，那么没有用户交互就会被拒绝。实际上SSL是需要有用户，有可能接受的自签名证书，这样他就可以实施SSL的支持。我们所测试的情况有14%的浏览器，我想测试一些浏览器自签名的SSL证书被默认的接收。用户没有这样一些确认，可以能够来接受了。

关于密码管理，他则认为：密码管理是使用JAVA scripts来实施的，它同样有一些权限。因为UIWebView会擅长做一些地域的强迫存储，我们目前对一些网页有要求，目前还不能够强迫它去存储一些密码，针对一些其他的网站，它目前正在使用网站，还有一些不合法的网站，对于某些人来说你可以强迫浏览器对其它域进行存储密码，有一些要求用户互动的，有一些是不需要的。

Pawel Wylecial坦言：从理论来说，这样一些网站因为有浏览器存储用户的密码，最与一些浏览器最严重的问题，它没有查对这些密码，但并不一定是URL的方案。填完密码，如果你要来点回车，这是Https而不是http的，目前我们没有看到真正的修复确认，我只好把演示跳过去。

你们可以看到对于API来说，它并不允许浏览器既有安全性，又有功能性，这样的话API是非常困难的，来构建一个安全的密码器，即使建立这样的浏览器是很难的。所以我们iOS8得到了很大的改进。如果你是用户，你还想来考虑你是否愿意由一些浏览器在一些其它边缘项目来实施，这里面并没有太多非常安全的iOS浏览器从第三方所构建来看。

比如说你可以尝试一下我们的测试内容的网站，它基本的东西只要是行得通的，如果你要负责公司的安全工作，你还想考虑一下浏览器是跟一些异动设备管理捆绑在一起的浏览器，它是否有一些类似的漏洞在里面。