2014年7月16日，由SyScan主辦，360公司承辦的SyScan360國際前瞻信息安全會議隆重召開。今天，作為本次大會的***一天，將有更加精彩的內(nèi)容呈現(xiàn)給與會者。據(jù)悉，今天將有6個議題逐一呈現(xiàn)給大家，此外也將宣布特斯拉破解的最終結(jié)果以及電子門卡的破解活動。

互聯(lián)網(wǎng)的普及，瀏覽器已經(jīng)成為人們不可或缺的工具。根據(jù)StatCounter的數(shù)據(jù)顯示，今年來自手機與平板電腦的網(wǎng)絡(luò)流量占據(jù)了總量的30%，而該報告還顯示Android和iOS的流量超過了OSX和Windows8，因而吸引了一些公司來開發(fā)蘋果移動平臺的瀏覽器產(chǎn)品。其中一些廠商使用了代理渲染方案，還有一些廠商為了達到更完整靈活的用戶體驗而選擇繞過UIWebView組件的限制。

因此在今天的會議上，Lukasz Pilorz和Pawel Wylecial則給大家?guī)砹擞嘘P(guān)IOS瀏覽器的安全問題。他們在這個議題中討論了iOS中第三方開發(fā)瀏覽器是如何開發(fā)出來的。內(nèi)容包含了UIWebView的主要能力和限制，瀏覽器開發(fā)者會添加的常見功能，以及會導(dǎo)致存在安全漏洞的常見設(shè)計與編程缺陷。他們還披露了Mobile Safari和UIWebView本身的安全弱點，并討論iOS8新的WebKit API——WKWebView。

Lukasz Pilorz談到：目前提到iOS瀏覽器，一般就是移動版的Safari?，F(xiàn)階段iOS有一個審查的綱要，我們要使用網(wǎng)絡(luò)瀏覽網(wǎng)頁的程序，必須使用iOS Webkit框架。此外目前有很多APPStore有很多的瀏覽器，還有移動終端上使用的瀏覽器，還有瀏覽器都是圍繞安全解決方案來開發(fā)的，但是他們的工作原理基本上都差不多。

在iOS方面，iOS8我們已經(jīng)解決了很多UIWebView以前版本的很多問題，當(dāng)然還有一些配置的偏好問題，我們用JAVA stript ，還有用戶內(nèi)容的控制器，還有導(dǎo)航的執(zhí)行，還有Uidalegate。我們還有URL，這是內(nèi)容特性，內(nèi)容屬性方面的，這樣會比較快、比較容易做這些工作，現(xiàn)在瀏覽器當(dāng)中還有一些內(nèi)容是缺失的。

此外Pawel Wylecial也表示通過測試發(fā)現(xiàn)目前有50%的瀏覽器都有漏洞和弱點，比如卡巴斯基、海豚等瀏覽器都有問題的。這其中不光是針對iOS，還有Chrome也是有問題的。有一些報錯當(dāng)中，有一些是不存在的主頁，找到我們目標(biāo)的網(wǎng)站，然后找到SSL的錯誤。我們找到分域的時候，來進行欺詐、欺騙。另外在移動瀏覽器中，很多JAVA腳本里面都有問題，有時候Windows open close可以抑制報警。

有關(guān)下載的問題Lukasz Pilorz認為iOS上面和在桌面上是有不同的對待，在iOS5之前，基本上它是被忽略了，它是在托管一方源那里去顯示，而iOS5以后這個漏洞已經(jīng)被修復(fù)，這些文檔就不會去訪問惡意域當(dāng)中的cookies，它可以給這些域提供一些HTmol(音)放慢的請求。但是如果你的瀏覽器采用了定制的政策的話，也有可能去執(zhí)行這樣的同源政策。另外對于內(nèi)容和類型來說，它的內(nèi)容也會受到不同的對待，在iOS7之前，文本基本上都是明文。如果你在Safari里面打開這樣的網(wǎng)頁，它會要求你在另外的應(yīng)用程序里面打開這個文件，因為通常這種文件的類型他是不支持的。如果你有一個文件是在HTML文件當(dāng)中打開的，然后又在一個URL、Webdata里面打開怎么辦呢?也就是如果它是沒有同源策略的JAVA scripts，你可以有帶有cookie 網(wǎng)絡(luò)上用。你可以用不同的設(shè)備來打開文件。

***Lukasz Pilorz也對SSL和密碼管理進行了闡述。Lukasz Pilorz提到：在默認的情況下，當(dāng)你加載一個請求，而這個請求有無效的SSL證書的時候，那么沒有用戶交互就會被拒絕。實際上SSL是需要有用戶，有可能接受的自簽名證書，這樣他就可以實施SSL的支持。我們所測試的情況有14%的瀏覽器，我想測試一些瀏覽器自簽名的SSL證書被默認的接收。用戶沒有這樣一些確認，可以能夠來接受了。

關(guān)于密碼管理，他則認為：密碼管理是使用JAVA scripts來實施的，它同樣有一些權(quán)限。因為UIWebView會擅長做一些地域的強迫存儲，我們目前對一些網(wǎng)頁有要求，目前還不能夠強迫它去存儲一些密碼，針對一些其他的網(wǎng)站，它目前正在使用網(wǎng)站，還有一些不合法的網(wǎng)站，對于某些人來說你可以強迫瀏覽器對其它域進行存儲密碼，有一些要求用戶互動的，有一些是不需要的。

Pawel Wylecial坦言：從理論來說，這樣一些網(wǎng)站因為有瀏覽器存儲用戶的密碼，最與一些瀏覽器最嚴重的問題，它沒有查對這些密碼，但并不一定是URL的方案。填完密碼，如果你要來點回車，這是Https而不是http的，目前我們沒有看到真正的修復(fù)確認，我只好把演示跳過去。

你們可以看到對于API來說，它并不允許瀏覽器既有安全性，又有功能性，這樣的話API是非常困難的，來構(gòu)建一個安全的密碼器，即使建立這樣的瀏覽器是很難的。所以我們iOS8得到了很大的改進。如果你是用戶，你還想來考慮你是否愿意由一些瀏覽器在一些其它邊緣項目來實施，這里面并沒有太多非常安全的iOS瀏覽器從第三方所構(gòu)建來看。

比如說你可以嘗試一下我們的測試內(nèi)容的網(wǎng)站，它基本的東西只要是行得通的，如果你要負責(zé)公司的安全工作，你還想考慮一下瀏覽器是跟一些異動設(shè)備管理捆綁在一起的瀏覽器，它是否有一些類似的漏洞在里面。