El esquema URL en iOS es vulnerable al Highjacking

El formato o esquema URL en iOS ofrece a los desarrolladores un medio para comunicar apps entre ellas. Pero más allá de la comunicación, con incluir el nombre de la aplicación en la misma URL es también posible abrirla o ejecutarla. Por ejemplo, "facetime://" abrirá FaceTime para realizar por ejemplo, una llamada. Este es sólo uno de los muchos esquemas que existen con este formato para las URL. El abuso de los esquemas URL puede acabar siendo un problema para la seguridad como veremos a continuación.

Apple utiliza un mecanismo de sandbox para la seguridad y privacidad de los datos contenidos en las apps creadas para iOS. Es un sistema bastante seguro pero tiene un pequeño problema: limita demasiado la comunicación entre aplicaciones. Aquí es donde entra el esquema URL. iOS permite un único esquema URL para que dicha aplicación pueda ser llamada por otras, utilizando un sencillo método en el cual se aplica el principio de orden de llegada, es decir, sólo se ejecuta y se registra como auténtica la primera aplicación que utilizó dicho esquema en primer lugar. Aún así, es posible explotar esta vulnerabilidad tal y como explican a fondo en la web de Trend Micro para conseguir un ataque tipo Highjacking (o secuestro)

Figura 1. Aspecto de un token de login robado por la aplicación URLSchemeAttack. Fuente.

Otro de los problemas relacionados con los esquemas URL es que estos pueden ser utilizados para ejecutar aplicaciones, como hemos comentado al principio de este artículo. Es decir, una aplicación maliciosa podría registrar una URL específica, existiendo la posibilidad de que dicho malware se pudiera ejecutar simplemente lanzando dicho esquema URL. Existen muchas aplicaciones de este tipo las cuales intentan reclamar el esquema URL perteneciente a otras aplicaciones conocidas como wechat://, fb://, etc. Esta práctica está muy extendida para conseguir ejecutar pop-ups con publicidad no solicitada.

Figura 2. Algunas aplicaciones maliciosas que intenta sacar provecho de aplicaciones populares. Fuente.

Los esquemas URL pueden ser peligrosos y no se recomiendan para transmitir información sensible o confidencial. Un atacante puede aprovechar la función de "no autenticación" ya que los datos se transfieren independientemente del origen o destino. En su lugar, se recomienda utilizar los llamados universal links, ya que configurando un enlace de este tipo creamos un interfaz de login además de una identificación aleatoria para autenticar el token de inicio recibido. De esta forma es sencillo prevenir un ataque tipo Highjacking además de la reproducción del token de login.

Fue Noticia en seguridad Apple: del 4 al 17 de marzo

Nos encontramos a mediados de marzo y en Seguridad Apple continuamos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 4 hablándoos de un nuevo RCE Exploit de Webkit que podría dar lugar a un nuevo jailbreak estilo jailbreakMe para iOS 12.1.4.  

El martes 5 os informamos de que EFF ha pedido a Apple que permita sus usuarios cifrar las copias de seguridad que hagan en iCloud.

El miércoles 6 os contamos cómo Google ha revelado un fallo grave en el kernel de macOS tras cumplir el plazo de 90 días para su corrección.

El jueves 7 os avisamos de que Linus Henze ha decidido compartir los detalles de su exploit con Apple sin obtener ninguna recompensa a cambio dada su preocupación por la seguridad de los usuarios de Mac.

El viernes 8 os alertamos de que los periféricos de vuestros Mac pueden estar comprometidos debido a una vulnerabilidad en el acceso directo a la memoria.

El sábado 9 indagamos en la historia de Apple para contaros en que consistió el último intento de Apple por salvar el ordenador Lisa.

El lunes 11 os contamos como lograr un interfaz más minimalista en vuestro iPhone utilizando carpetas sin nombre.

El martes 12 os enseñamos como reactivar o instalar por primera vez unc0ver jailbreak en vuestros iPhones o iPads.

El miércoles 13 os hablamos de los dispositivos dev-fused de Apple, dispositivos rooteados por Apple y que están adquiriendo un gran valor en el mercado negro.

El jueves 14 os contamos como unos investigadores de Trend Micro han descubierto un sitio en Torrent que contiene varias aplicaciones maliciosas.

Finalmente, ayer sábad, hablamos sobre una de las noticias de la semana, la World Wide Web. Un interesante artículo lleno de curiosidades que envuelve a Steve Jobs.