最近移动安全三两事
/ / 点击 / 阅读耗时 9 分钟中秋马上到了,先预祝大家中秋快乐。
估计这两天大家都在求视频和照片的下载地址,源于好莱坞艳照门事件。
今天一则近百名好莱坞女星 iCloud 账户遭黑客攻击导致裸照泄露的新闻将 iCloud 的安全推倒风口浪尖,其中泄露的女明星包括 Jennifer Lawrence(詹妮弗·劳伦斯)、Kirsten Dunst(克里斯丁·邓斯特)、Jennifer Lopez(珍妮弗·洛佩兹)、歌手Rihanna(蕾哈娜)、Scarlett Johansson(斯嘉丽·约翰逊)等等。
相信很多同学已经看过这些照片和视频了,我就不多加介绍了,然后大家也别求种子啥的,这个肯定是木有的(/抠鼻)。
又是一件与个人隐私安全密切相关的事件,事件我就变多介绍了,来谈谈事件背后的漏洞,缘于苹果官方对于iCloud帐户的暴力破解的限制存在疏漏导致可以帐户可以被暴力破解,而流传出来的照片就是来自于此。
估计经过媒体的宣传和网络热炒,苹果官方反正是要背全黑锅了,管你用户密码太简单容易破解还是其他的,反正就是你没做好安全措施。哈哈,不多做评价,这种东西本来就很难防范,比如我设置个字母+数字+特殊字符+大小写,然后足够的长度,你给我破解试试,当然这么说不是排除苹果的原因,只是希望任何一件安全事件都不要被夸大,当然这个事件因为牵扯到明星,又是苹果公司,所以影响就大了,这个事件不做评价,大家各看各的,各有各观点。
附上破解脚本一份,hackappcom/ibrute · GitHub,搞开发的同学应该一看就看得懂代码,代码很简单,可以了解下漏洞,不要用来做坏事(今天测试了下,是可以成功的)。
第二件事就是安卓浏览器同源策略绕过。
可能根据上面那句话,大家不知道是什么情况,简单的说这是一个UXSS漏洞。这个事说来还挺碰巧的,因为有同学问我UXSS,于是就想着写篇UXSS的介绍文章,然后在找相关资料和案例的时候(这点表示国内基本没资料。。。)正好就找到了这个漏洞的介绍文章。
原文链接: http://www.rafayhackingarticles.net/2014/08/android-browser-same-ori gin-policy.html
同源策略的话,大概介绍下,看过COS的《web前端黑客技术解密》的同学应该在书的第一章就可以看到介绍,cos在书里比喻成楚河汉界,大家可以去看看。我简单的解释下,因为有这个同源策略的存在,那么网站http://a.com就只能读取自己的东西,比如会话信息,而不能去读取http://b.com
的会话信息,当然,对http://b.com
、http://c.com
都是同理的。
然后再来介绍下UXSS,对于常见XSS可能大家稍微有点了解,就是网站存在漏洞,可以被跨站,可能大家最熟悉的就是弹个框啥的,是否只能弹个窗啥的我就不多做解释,知乎上正好有人提问 http://www.zhihu.com/question/24918141。
而UXSS与普通XSS有什么区别?简单的说,普通XSS需要网站本身存在漏洞,而UXSS叫做通用跨站脚本攻击,利用的是浏览器本身或者浏览器扩展程序的漏洞,不需要网站本身存在漏洞也可以触发漏洞,而怎么利用漏洞等就与普通XSS没什么区别了。
看一张图,今天测试的图
这个是我今天测试这个漏洞的截图。这个截图大家可以看到百度弹了cookie,但是这并不是我挖到了百度首页的XSS漏洞,而是利用刚才介绍的浏览器的漏洞来实现的。讲到这里大家应该明白UXSS是什么了,更多的可以看我昨天的博文通用跨站脚本攻击(UXSS)
大家可以用我构造的页面测试下http://0xsafe.org/x.html
,通过指定版本的安卓浏览器进行访问或者QQ、微信等直接访问也是可以的。
根据介绍这个漏洞是因为URL解析器对空字符的不正确处理导致的(下文poc中的u0000)。
poc:
1 | <iframe name="x" src="百度一下,你就知道" onload="window.open('u0000javascript:alert(document.cookie)','x')" > |
其他的就不多做介绍了,讲下使用对应版本安卓系统的同学如何防范该问题,最简单的一点:
不管是QQ、微信或者其他渠道发送的可疑链接都不要去点击(QQ和微信点击链接进行页面访问实际上通俗的讲就是内嵌浏览器,所以性质是一样的)
坐等更新就好。
然后针对iCloud的问题,官方说修复了,如果你实在不放心,不管官方有没有修复,最简单的方式:
将密码设置的足够强壮!