Index

Secuestro de esquema de URL en iOS

Risk: medium

Descripción

La aplicación puede registrar esquemas de URI para manejar acciones como el inicio de sesión único (SSO), los enlaces profundos de la aplicación o para realizar la comunicación entre aplicaciones.

Una aplicación maliciosa puede registrar un URI que ya está siendo utilizado por una aplicación genuina y ser capaz de interceptar los datos destinados a ella, los cuales pueden contener información confidencial como códigos de autorización OAuth o tokens.

Recomendación

Para mitigar el riesgo de secuestro del esquema de URL en iOS, se recomienda utilizar los enlaces universales de iOS (Universal Links).

Los enlaces universales previenen la intercepción por parte de aplicaciones maliciosas a través de un proceso de validación utilizando enlaces web estándar (HTTP/HTTPS).

Por ejemplo, la aplicación Telegram admite tanto esquemas de URL personalizados como enlaces universales:

• tg://resolve?domain=fridadotre es un esquema de URL personalizado y utiliza el esquema tg://.
• https://telegram.me/fridadotre es un enlace universal y utiliza el esquema https://.

Este modelo garantiza que los enlaces universales sean únicos y seguros sin sacrificar la simplicidad y la flexibilidad.

Enlaces

• MITRE ATT&CK - URI Hijacking
• Prevent iOS URL Scheme Hijack

Estándares

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_3
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_3
• GDPR:
  • ART_5
  • ART_32
• PCI_STANDARDS:
  • REQ_6_2
  • REQ_6_3
  • REQ_11_3
• OWASP_MASVS_v2_1:
  • MASVS_CODE_4
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• CNIL_FOR_DEVELOPERS:
  • DEVELOPERS_4_1_4
• HIPAA_CONTROLS:
  • SECURITY221
  • SECURITY212
  • SECURITY213