专家详解URL Scheme漏洞 不越狱支付账号密码也能被“偷”

jiaohuang4

专家详解URL Scheme漏洞 不越狱支付账号密码也能被“偷”

        近日，网上一段未越狱iPhone支付账号密码被“偷”到电脑上的视频大热，看过视频的果粉惊呼“不越狱也不安全吗”？实际上，这是利用URL Scheme 漏洞对支付账号和密码进行劫持实现的，URL Scheme是苹果手机App间调用的一种方法。
        360手机安全中心分析指出，从非信任渠道下载手机APP存在极大风险，目前iOS 8.2尚未修复这一漏洞，iPhone用户可安装360手机卫士预防恶意复制和利用URL scheme的程序。

360手机安全专家分析，这一“劫持”实现要依赖三个前提：
1、用户的iPhone上安装了伪装的App，这个伪装的App与正版App使用的URL Scheme一致。
2、根据iOS系统规则，伪装App会比正版App优先处理这个URL Scheme的请求。
3、伪装App有与正版App一样的支付界面。
以高铁管家和支付宝为例，360手机安全专家拆解了这个攻击过程是如何实现的:
1、手机用户打开高铁管家，支付时选择支付宝；
2、高铁管家根据订单生成一个URL Scheme网址，并通过iOS系统调用支付宝打开；
3、iOS系统打开这个URL Scheme时，根据目前的规则会优先调用 “假支付宝”；
4、“假支付宝”会显示和正版支付宝一样的界面和流程，欺骗用户输入用户名、密码信息；
5、用户输入完毕后，“假支付宝”会将所有信息发送到黑客服务器上；
6、黑客的服务器收到这些信息后，为了不被发觉，会在自己的设备上，使用正版支付宝进行支付；
7、黑客将交易成功的提示返回到装有“假支付宝”的手机上。
        iOS设备上一个应用可以将其自身“绑定”到一个自定义 URL Scheme 上，用于从浏览器或其他应用中跳转启动该应用。URL scheme机制并没有考虑有多个 app 声明同一个 URL Scheme 的情况，如果一种URL Scheme 的注册应用程序都是第三方开发的，那么这些程序的优先级关系是不确定的。        360手机安全专家介绍，中国区iOS用户有2/3会通过非Appstore市场下载App，给这类模仿App制造了很大的机会，而这种模仿正常App的URL Scheme的情况，目前只能通过App自身加上验证机制或苹果绑定Bundle ID，因为 Bundle ID 在 App Store 上是唯一的。

安全建议：
        对于App开发者，在支付App中动态生成token，并在支付环节验证token，可以使攻击者无法通过窃取URLScheme、用户名和密码完成交易，但这只是在用户的账号和密码被窃取的补救措施，仍无法解决用户的账号和密码被窃取的问题。
        对于iPhone用户：尽量从APP Store下载手机应用，不要从第三方渠道安装App，避免遇到伪装App。