maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/mobile-pentesting/ios-pentesting/ios-universal-links.md

Browse Source
This commit is contained in:
Translator 2025-07-17 14:10:09 +00:00
parent 36848d5760
commit f933ceabdf
1 changed files with 36 additions and 3 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

39
src/mobile-pentesting/ios-pentesting/ios-universal-links.md
View File

@ -18,13 +18,25 @@ Les développeurs activent les liens universels en configurant les **Domaines As
<string>applinks:t.me</string>
</array>
```
Pour des informations plus complètes, consultez la [documentation Apple Developer archivée](https://developer.apple.com/library/archive/documentation/General/Conceptual/AppSearch/UniversalLinks.html#//apple_ref/doc/uid/TP40016308-CH12-SW2).
Pour des informations plus complètes, référez-vous à la [documentation Apple Developer archivée](https://developer.apple.com/library/archive/documentation/General/Conceptual/AppSearch/UniversalLinks.html#//apple_ref/doc/uid/TP40016308-CH12-SW2).
Si vous travaillez avec une application compilée, les autorisations peuvent être extraites comme indiqué dans [ce guide](extracting-entitlements-from-compiled-application.md).
### **Récupération du fichier Apple App Site Association**
Le fichier `apple-app-site-association` doit être récupéré depuis le serveur en utilisant les domaines spécifiés dans les autorisations. Assurez-vous que le fichier est accessible via HTTPS directement à `https://<domain>/apple-app-site-association`. Des outils comme le [validateur Apple App Site Association (AASA)](https://branch.io/resources/aasa-validator/) peuvent aider dans ce processus.
Le fichier `apple-app-site-association` doit être récupéré depuis le serveur en utilisant les domaines spécifiés dans les autorisations. Assurez-vous que le fichier est accessible via HTTPS directement à `https://<domain>/apple-app-site-association` (ou `/.well-known/apple-app-site-association`). Des outils comme le [validateur Apple App Site Association (AASA)](https://branch.io/resources/aasa-validator/) peuvent aider dans ce processus.
> **Énumération rapide depuis un shell macOS/Linux**
>
> ```bash
> # en supposant que vous avez extrait les autorisations dans ent.xml
> doms=$(plutil -extract com.apple.developer.associated-domains xml1 -o - ent.xml | \
> grep -oE 'applinks:[^<]+' | cut -d':' -f2)
> for d in $doms; do
> echo "[+] Récupération de l'AASA pour $d";
> curl -sk "https://$d/.well-known/apple-app-site-association" | jq '.'
> done
> ```
### **Gestion des liens universels dans l'application**
@ -70,15 +82,36 @@ return false
}
}
```
Grâce à une **configuration et une validation diligentes**, les développeurs peuvent s'assurer que les liens universels améliorent l'expérience utilisateur tout en maintenant des normes de sécurité et de confidentialité.
À travers une **configuration et validation diligentes**, les développeurs peuvent s'assurer que les liens universels améliorent l'expérience utilisateur tout en maintenant des normes de sécurité et de confidentialité.
## Vulnérabilités courantes et vérifications de pentesting
| # | Faiblesse | Comment tester | Exploitation / Impact |
|---|----------|------------|-----------------------|
| 1 | **`paths` / `components` trop larges** dans le fichier AASA (par exemple, `"/": "*"` ou des jokers tels que `"/a/*"`). | • Inspectez le AASA téléchargé et recherchez `*`, des barres obliques finales ou des règles `{"?": …}`.<br>• Essayez de demander des ressources inconnues qui correspondent toujours à la règle (`https://domain.com/a/evil?_p_dp=1`). | Détournement de lien universel : une application iOS malveillante qui enregistre le même domaine pourrait revendiquer tous ces liens et présenter une interface de phishing. Un exemple réel est le rapport de bug-bounty de Temu.com de mai 2025 où un attaquant pouvait rediriger n'importe quel chemin `/a/*` vers sa propre application. |
| 2 | **Validation côté serveur manquante** des chemins de deep-link. | Après avoir identifié les chemins autorisés, émettez des requêtes `curl`/Burp vers des ressources non existantes et observez les codes d'état HTTP. Tout autre chose que `404` (par exemple, 200/302) est suspect. | Un attaquant peut héberger du contenu arbitraire derrière un chemin autorisé et le servir via le domaine légitime, augmentant le taux de réussite du phishing ou du vol de jetons de session. |
| 3 | **Gestion des URL côté application sans liste blanche de schéma/hôte** (CVE-2024-10474 Mozilla Focus < 132). | Recherchez des appels directs `openURL:`/`open(_:options:)` ou des ponts JavaScript qui transmettent des URL arbitraires. | Les pages internes peuvent faire passer des URL `myapp://` ou `https://` qui contournent les vérifications de sécurité de la barre d'URL du navigateur, entraînant des usurpations ou des actions privilégiées non intentionnelles. |
| 4 | **Utilisation de sous-domaines génériques** (`*.example.com`) dans l'autorisation. | `grep` pour `*.` dans les autorisations. | Si un sous-domaine est pris (par exemple via un bucket S3 inutilisé), l'attaquant obtient automatiquement le lien universel. |
### Liste de vérification rapide
* [ ] Extraire les autorisations et énumérer chaque entrée `applinks:`.
* [ ] Télécharger AASA pour chaque entrée et auditer les jokers.
* [ ] Vérifier que le serveur web renvoie **404** pour les chemins non définis.
* [ ] Dans le binaire, confirmer que **seuls** les hôtes/schémas de confiance sont gérés.
* [ ] Si l'application utilise la nouvelle syntaxe `components` (iOS 11+), tester les règles de paramètres de requête (`{"?":{…}}`).
## Outils
- [GetUniversal.link](https://getuniversal.link/): Aide à simplifier le test et la gestion des liens universels de votre application et du fichier AASA. Il suffit d'entrer votre domaine pour vérifier l'intégrité du fichier AASA ou d'utiliser le tableau de bord personnalisé pour tester facilement le comportement des liens. Cet outil vous aide également à déterminer quand Apple indexera à nouveau votre fichier AASA.
- [Knil](https://github.com/ethanhuang13/knil): Utilitaire iOS open-source qui récupère, analyse et vous permet de **tester** chaque lien universel déclaré par un domaine directement sur l'appareil.
- [universal-link-validator](https://github.com/urbangems/universal-link-validator): Validateur CLI / web qui effectue des vérifications strictes de conformité AASA et met en évidence les jokers dangereux.
## Références
- [https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-TEST-0070/#static-analysis](https://mas.owasp.org/MASTG/tests/ios/MASVS-PLATFORM/MASTG-TEST-0070/#static-analysis)
- [https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06h-testing-platform-interaction#testing-object-persistence-mstg-platform-8](https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06h-testing-platform-interaction#testing-object-persistence-mstg-platform-8)
- [https://medium.com/@m.habibgpi/universal-link-hijacking-via-misconfigured-aasa-file-on-temu-com-eadfcb745e4e](https://medium.com/@m.habibgpi/universal-link-hijacking-via-misconfigured-aasa-file-on-temu-com-eadfcb745e4e)
- [https://nvd.nist.gov/vuln/detail/CVE-2024-10474](https://nvd.nist.gov/vuln/detail/CVE-2024-10474)
{{#include ../../banners/hacktricks-training.md}}