IOS-dagi URL sxemalari foydalanuvchi hisoblariga kirish imkonini beradi
Bir nechta dasturlar bir xil URL sxemasidan foydalanishi mumkin, bu esa ma’lumotlarning butunlay boshqa ilovaga yuborilishiga olib kelishi mumkin.
Trend Micro tadqiqotchilari iOS qurilmasiga o‘rnatilgan zararli ilovaga maxsus URL sxemalarining ayrim ilovalaridan foydalangan holda boshqa ilovadagi maxfiy ma’lumotlarga kirish imkonini beruvchi yangi hujum usulini namoyish qildi. Odatiy bo’lib, iOS qurilmaga o’rnatilgan ilovalar bir-birining ma’lumotlariga kirishiga yo’l qo’ymaslik uchun har bir ilovani o’zining sinov muhitida ishga tushiradi. Biroq, Apple ilovalarga cheklangan ma’lumotlarni almashish imkonini beruvchi bir nechta usullarni taklif qiladi. Bunday mexanizmlardan biri URL sxemasi (Deep Linking) bo’lib, u ishlab chiquvchilarga o’z ilovalarini facetime://, whatsapp:// yoki fb-messenger:// kabi URL orqali ishga tushirish imkoniyatini amalga oshirish imkonini beradi.
Masalan, elektron tijorat ilovasida “Facebook bilan kirish” opsiyasini bosganingizda, siz avtomatik ravishda Facebook’ga kirasiz (ilova Facebook uchun URL sxemasidan foydalanadi va avtorizatsiya uchun zarur bo‘lgan kontekstual ma’lumotlarni uzatadi).
Tadqiqotchilar aniqlaganidek, Apple ilovalar oʻzlarining URL sxemalari uchun qaysi kalit soʻzlardan foydalanishi mumkinligini aniq belgilamaydi, yaʼni bir nechta ilovalar bir xil sxemadan foydalanishi mumkin, bu esa maʼlumotlarni butunlay boshqa ilovaga yuborishga olib kelishi mumkin.
Mutaxassislar hujumni Xitoy riteyleri Suning ilovasi va uning “WeChat bilan kirish” funksiyasi misolida tasvirlab berishdi. WeChat orqali Suning hisobiga kirishda avtorizatsiya so‘rovi yaratiladi va qurilmada o‘rnatilgan WeChat ilovasiga yuboriladi. Keyin WeChat maxfiy tokenni so‘raydi va avtorizatsiya uchun Suning ilovasiga yuboradi. Suning bir xil avtorizatsiya soʻrovidan foydalanganligi va WeChat soʻrovning kelib chiqishini tekshirmaganligi sababli, bu dastur URL sxemasi orqali tajovuzkorlarga foydalanuvchi hisoblariga kirish imkonini beradigan oʻrtadagi ilova deb ataladigan hujumga qarshi himoyasiz.
Shunday qilib, maqsadli dastur bilan bir xil URL sxemasidan foydalanadigan zararli dastur boshqa ilovalarning maxfiy ma’lumotlariga kirishi yoki turli zararli harakatlarni amalga oshirishi mumkin.
Ushbu zaiflikdan foydalanish imkoniyati URL sxemalarini amalga oshirish bilan bog’liq bo’lganligi sababli, mutaxassislar dastur ishlab chiquvchilarga ishonchsiz so’rovlarni tekshirish mexanizmlarini joriy qilishni tavsiya qiladi.
