苹果如何确保黑客无法使用假域推送虚假应用来使用iOS密码自动填充功能?
例如,如果黑客创建的应用程序的域名为linkedin.com,则用户可能正在使用密码自动填充功能,假应用程序会将linkedin.com作为服务标识符传递给自动填充扩展程序。
我找到了一些关于关联域如何用于通用链接的文档,以确保确保服务标识符或域的真实性。
这是我读到的文档的链接:qazxsw poi
此外,如果密码自动填充使用与通用链接相同的机制,并在应用程序中使用相关域,允许多个域。当我们尝试使用本机应用程序使用自动填充扩展时,哪个域会自动填充扩展程序?
应用程序和网站之间存在双向链接。
该应用程序在https://developer.apple.com/documentation/security/password_autofill/setting_up_an_app_s_associated_domains文件中列出其关联的域。关联域中的网站在info.plist
文件中提供其支持的应用程序的包ID。
为了使密码自动填充起作用,链接的两个部分都需要到位。
看看你为linkedin.com提出的例子。
apple-app-site-association
列为关联域的应用程序。linkedin.com
com.badapple.trickyapp
文件中,因为攻击者无法更改该文件;它由链接控制。另一种方式呢?
apple-app-site-association
将包含其应用程序的软件包ID,例如apple-app-site-association
。基本上,您需要控制应用程序和网站内容才能触发自动填充。
如果应用程序中列出了多个域,并且相关的站点关联已就位,则iOS将在快速类型栏上提供多个密码选项。如果钥匙串(或用户使用的任何密码提供商)中有更多匹配,则他们可以使用“密码...”按钮查看表格视图中的所有匹配项并选择相关的帐户详细信息。