iOS Universal Links

Reading time: 7 minutes

Wprowadzenie

Universal links oferują bezproblemowe przekierowanie użytkowników, otwierając treści bezpośrednio w aplikacji, omijając potrzebę przekierowania do Safari. Te linki są unikalne i bezpieczne, ponieważ nie mogą być przejmowane przez inne aplikacje. Zapewnia to umieszczenie pliku apple-app-site-association w głównym katalogu witryny, co ustanawia weryfikowalny link między witryną a aplikacją. W przypadkach, gdy aplikacja nie jest zainstalowana, Safari przejmuje kontrolę i kieruje użytkownika na stronę internetową, utrzymując obecność aplikacji.

Dla testerów penetracyjnych plik apple-app-site-association jest szczególnie interesujący, ponieważ może ujawniać wrażliwe ścieżki, potencjalnie w tym te związane z niewydanymi funkcjami.

Analiza uprawnienia Associated Domains

Programiści włączają Universal Links, konfigurując Associated Domains w zakładce Capabilities w Xcode lub przeglądając plik .entitlements. Każda domena jest poprzedzona applinks:. Na przykład, konfiguracja Telegrama może wyglądać następująco:

<key>com.apple.developer.associated-domains</key>
<array>
<string>applinks:telegram.me</string>
<string>applinks:t.me</string>
</array>

Aby uzyskać bardziej szczegółowe informacje, zapoznaj się z archiwalną dokumentacją dewelopera Apple.

Jeśli pracujesz z skompilowaną aplikacją, uprawnienia można wyodrębnić zgodnie z tym przewodnikiem.

Pobieranie pliku Apple App Site Association

Plik apple-app-site-association powinien być pobrany z serwera przy użyciu domen określonych w uprawnieniach. Upewnij się, że plik jest dostępny przez HTTPS bezpośrednio pod adresem https://<domain>/apple-app-site-association (lub /.well-known/apple-app-site-association). Narzędzia takie jak Apple App Site Association (AASA) Validator mogą pomóc w tym procesie.

Szybka enumeracja z powłoki macOS/Linux

# zakładając, że wyodrębniłeś uprawnienia do ent.xml
doms=$(plutil -extract com.apple.developer.associated-domains xml1 -o - ent.xml | \
       grep -oE 'applinks:[^<]+' | cut -d':' -f2)
for d in $doms; do
  echo "[+] Pobieranie AASA dla $d";
  curl -sk "https://$d/.well-known/apple-app-site-association" | jq '.'
done

Obsługa linków uniwersalnych w aplikacji

Aplikacja musi zaimplementować określone metody, aby poprawnie obsługiwać linki uniwersalne. Główną metodą, na którą należy zwrócić uwagę, jest application:continueUserActivity:restorationHandler:. Ważne jest, aby schemat obsługiwanych adresów URL był HTTP lub HTTPS, ponieważ inne nie będą wspierane.

Walidacja metody obsługi danych

Gdy link uniwersalny otwiera aplikację, obiekt NSUserActivity jest przekazywany do aplikacji z adresem URL. Przed przetworzeniem tego adresu URL ważne jest, aby go zwalidować i oczyścić, aby zapobiec zagrożeniom bezpieczeństwa. Oto przykład w Swift, który ilustruje ten proces:

func application(_ application: UIApplication, continue userActivity: NSUserActivity,
restorationHandler: @escaping ([UIUserActivityRestoring]?) -> Void) -> Bool {
// Check for web browsing activity and valid URL
if userActivity.activityType == NSUserActivityTypeBrowsingWeb, let url = userActivity.webpageURL {
application.open(url, options: [:], completionHandler: nil)
}

return true
}

URL-e powinny być starannie analizowane i walidowane, szczególnie jeśli zawierają parametry, aby chronić przed potencjalnym fałszowaniem lub źle sformatowanymi danymi. API NSURLComponents jest przydatne w tym celu, jak pokazano poniżej:

func application(_ application: UIApplication,
continue userActivity: NSUserActivity,
restorationHandler: @escaping ([Any]?) -> Void) -> Bool {
guard userActivity.activityType == NSUserActivityTypeBrowsingWeb,
let incomingURL = userActivity.webpageURL,
let components = NSURLComponents(url: incomingURL, resolvingAgainstBaseURL: true),
let path = components.path,
let params = components.queryItems else {
return false
}

if let albumName = params.first(where: { $0.name == "albumname" })?.value,
let photoIndex = params.first(where: { $0.name == "index" })?.value {
// Process the URL with album name and photo index

return true

} else {
// Handle invalid or missing parameters

return false
}
}

Through diligent configuration and validation, developers can ensure that universal links enhance user experience while maintaining security and privacy standards.

Common Vulnerabilities & Pentesting Checks

Quick Checklist

• Wyodrębnij uprawnienia i wymień każdy wpis applinks:.
• Pobierz AASA dla każdego wpisu i sprawdź pod kątem znaków wieloznacznych.
• Zweryfikuj, że serwer internetowy zwraca 404 dla nieokreślonych ścieżek.
• W binarnym potwierdź, że tylko zaufane hosty/schematy są obsługiwane.
• Jeśli aplikacja używa nowszej składni components (iOS 11+), fuzzuj reguły parametrów zapytania ({"?":{…}}).

Tools

• GetUniversal.link: Pomaga uprościć testowanie i zarządzanie linkami uniwersalnymi oraz plikiem AASA Twojej aplikacji. Wystarczy wpisać swoją domenę, aby zweryfikować integralność pliku AASA lub skorzystać z niestandardowego pulpitu nawigacyjnego, aby łatwo testować zachowanie linków. To narzędzie pomaga również określić, kiedy Apple ponownie zindeksuje Twój plik AASA.
• Knil: Narzędzie iOS typu open-source, które pobiera, analizuje i pozwala na testowanie dotykowe każdego linku uniwersalnego zadeklarowanego przez domenę bezpośrednio na urządzeniu.
• universal-link-validator: Walidator CLI / webowy, który przeprowadza ścisłe kontrole zgodności AASA i podkreśla niebezpieczne znaki wieloznaczne.

References

• https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-TEST-0070/#static-analysis
• https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06h-testing-platform-interaction#testing-object-persistence-mstg-platform-8
• https://medium.com/@m.habibgpi/universal-link-hijacking-via-misconfigured-aasa-file-on-temu-com-eadfcb745e4e
• https://nvd.nist.gov/vuln/detail/CVE-2024-10474