계: Encapsulation
캡슐화는 강력한 경계를 그리는 것입니다. 웹 브라우저에서는 사용자의 모바일 코드가 다른 모바일 코드에 의해 오용되지 않도록 하는 것을 의미합니다. 서버에서는 검증된 데이터와 검증되지 않은 데이터, 한 사용자의 데이터와 다른 사용자의 데이터, 데이터 사용자가 볼 수 있는 데이터와 볼 수 없는 데이터 간의 차별화를 의미할 수 있습니다.
Insecure IPC: URL Scheme Hijacking
Abstract
응용 프로그램이 IPC(Inter-Procedure Communication)에 대해 사용자 지정 URL 스키마를 사용하여 "URL 스키마 하이재킹"의 위험이 있습니다.
Explanation
응용 프로그램이 타사 응용 프로그램과의 통신을 위해 이러한 응용 프로그램에 사용자 지정 URL 스키마를 등록할 수 있습니다. 이는 간단한 IPC 채널이지만 응용 프로그램이 "URL 스키마 하이재킹"에 노출될 수 있습니다. 모든 응용 프로그램이 Apple에서 예약하지 않은 URL 스키마를 등록할 수 있기 때문에 악성 응용 프로그램이 귀하의 응용 프로그램에서 사용되는 것과 동일한 스키마를 등록하여 원치 않는 동작을 유발할 수 있습니다. Apple의 설명서에는 "둘 이상의 타사 응용 프로그램이 동일 URL 스키마를 처리하도록 등록되는 경우 해당 스키마를 받을 응용 프로그램을 결정하기 위한 프로세스가 현재는 없습니다."라고 나와 있습니다. 악성 응용 프로그램이 귀하의 응용 프로그램보다 먼저 설치된 경우, 악성 응용 프로그램이 스키마를 등록하여 귀하의 응용 프로그램의 성공적인 설치를 방해할 수 있습니다. 또한 악성 응용 프로그램이 귀하의 응용 프로그램 뒤에 설치되더라도 스키마 등록에 성공하면, 귀하의 응용 프로그램에서 등록을 하이재킹할 수 있습니다.
References
[1] David Thiel iOS Application Security: The Definitive Guide for Hackers and Developers No Starch Press
[2] Standards Mapping - CIS Azure Kubernetes Service Benchmark 1
[3] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 4
[4] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 3
[5] Standards Mapping - CIS Google Kubernetes Engine Benchmark normal
[6] Standards Mapping - Common Weakness Enumeration CWE ID 939
[7] Standards Mapping - Common Weakness Enumeration Top 25 2020 [25] CWE ID 862
[8] Standards Mapping - Common Weakness Enumeration Top 25 2021 [18] CWE ID 862
[9] Standards Mapping - Common Weakness Enumeration Top 25 2022 [16] CWE ID 862
[10] Standards Mapping - Common Weakness Enumeration Top 25 2023 [11] CWE ID 862
[11] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[12] Standards Mapping - OWASP Top 10 2021 A04 Insecure Design
[13] Standards Mapping - OWASP Application Security Verification Standard 4.0 4.1.3 General Access Control Design (L1 L2 L3), 4.1.5 General Access Control Design (L1 L2 L3), 4.2.1 Operation Level Access Control (L1 L2 L3), 13.1.4 Generic Web Service Security Verification Requirements (L2 L3)
[14] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-PLATFORM-1
desc.structural.objc.insecure_ipc_url_scheme_hijacking
Abstract
응용 프로그램이 IPC(Inter-Procedure Communication)에 대해 사용자 지정 URL 스키마를 사용하여 "URL 스키마 하이재킹"의 위험이 있습니다.
Explanation
응용 프로그램이 타사 응용 프로그램과의 통신을 위해 이러한 응용 프로그램에 사용자 지정 URL 스키마를 등록할 수 있습니다. 이는 간단한 IPC 채널이지만 응용 프로그램이 "URL 스키마 하이재킹"에 노출될 수 있습니다. 모든 응용 프로그램이 Apple에서 예약하지 않은 URL 스키마를 등록할 수 있기 때문에 악성 응용 프로그램이 귀하의 응용 프로그램에서 사용되는 것과 동일한 스키마를 등록하여 원치 않는 동작을 유발할 수 있습니다. Apple의 설명서에는 "둘 이상의 타사 응용 프로그램이 동일 URL 스키마를 처리하도록 등록되는 경우 해당 스키마를 받을 응용 프로그램을 결정하기 위한 프로세스가 현재는 없습니다."라고 나와 있습니다. 악성 응용 프로그램이 귀하의 응용 프로그램보다 먼저 설치된 경우, 악성 응용 프로그램이 스키마를 등록하여 귀하의 응용 프로그램의 성공적인 설치를 방해할 수 있습니다. 또한 악성 응용 프로그램이 귀하의 응용 프로그램 뒤에 설치되더라도 스키마 등록에 성공하면, 귀하의 응용 프로그램에서 등록을 하이재킹할 수 있습니다.
References
[1] David Thiel iOS Application Security: The Definitive Guide for Hackers and Developers No Starch Press
[2] Standards Mapping - CIS Azure Kubernetes Service Benchmark 1
[3] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 4
[4] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 3
[5] Standards Mapping - CIS Google Kubernetes Engine Benchmark normal
[6] Standards Mapping - Common Weakness Enumeration CWE ID 939
[7] Standards Mapping - Common Weakness Enumeration Top 25 2020 [25] CWE ID 862
[8] Standards Mapping - Common Weakness Enumeration Top 25 2021 [18] CWE ID 862
[9] Standards Mapping - Common Weakness Enumeration Top 25 2022 [16] CWE ID 862
[10] Standards Mapping - Common Weakness Enumeration Top 25 2023 [11] CWE ID 862
[11] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[12] Standards Mapping - OWASP Top 10 2021 A04 Insecure Design
[13] Standards Mapping - OWASP Application Security Verification Standard 4.0 4.1.3 General Access Control Design (L1 L2 L3), 4.1.5 General Access Control Design (L1 L2 L3), 4.2.1 Operation Level Access Control (L1 L2 L3), 13.1.4 Generic Web Service Security Verification Requirements (L2 L3)
[14] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-PLATFORM-1
desc.structural.swift.insecure_ipc_url_scheme_hijacking