제목 : Bypassing Browser Security Policies for Fun and Profit

내용 :

안드로이드 모바일의 브라우저의 취약점을 해킹 하는 시현 입니다. 데스크탑에서는 다양한 보안 소프트웨어로 자산을 보호하지만 핸드폰에서는 보안 소프트웨어가 거의 없기 때문에 영상에서 보시는 취약점이 존재 합니다.

데스크톱 브라우저에 비해 모바일 브라우저는 비교적 새롭고 동일한 수준의 조사를받지 못했습니다. 브라우저 공급 업체는 메모리 손상 공격에 대한 수많은 보호 메커니즘을 도입 및 구현하여 모든 상황에서 작동 할 수있는 신뢰할 수있는 공격 방법을 작성하는 것을 매우 어렵게 만듭니다. 이로 인해 클라이언트 측 공격의 "다른"범주가 남습니다. 이 프리젠 테이션에서는 "동일 출처 정책"및 "콘텐츠 보안 정책"과 같은 브라우저 내부에서 구현되는 핵심 보안 정책을 우회하는 방법에 대한 연구를 제시합니다.

우리는 우리의 연구 중에 다양한 모바일 브라우저에서 발견 된 몇 가지 바이 패스를 제시 할 것입니다. 또한 안드로이드 브라우저에서 발견되는 바와 같이 주소 바 스푸핑, 콘텐츠 스푸핑, 크로스 오리진 CSS 공격, 캐릭터 세트 상속, CSP 바이 패스, 혼합 콘텐츠 바이 패스 등과 같은 다른 흥미로운 보안 결함을 발견 할 것입니다. 우리는 또한 여러 안드로이드 제로 데이를 밝히기 위해 사용한 테스트 방법론에 대해서도 이야기 할 것입니다.

이론 외에도 우리 프리젠 테이션은 가장 인기있는 Android 타사 웹 브라우저 및 Android WebView에서 확인한 보안 취약점 및 약점의 가장 흥미로운 사례를 12 가지 공개합니다.

우리는 버그의 근본 원인을 설명하고 악용 사례를 보여주고, 취약한 코드의 예와 가능한 경우이 취약점을 해결하기 위해 발급 된 패치를 보여줍니다. 마지막으로 모든 모바일 웹 / 브라우저의 기본 보안 속성을 평가하는 데 사용할 수있는 샘플 테스트 스위트를 보여줍니다.

Description :

Mobile browsers in comparison to desktop browsers are relatively new and have not gone under same level of scrutiny. Browser vendors have introduced and implemented tons of protection mechanisms against memory corruption exploits, which makes it very difficult to write a reliable exploit that would work under all circumstances. This leaves us with the "other" category of Client Side attacks. In this presentation, we will present our research about bypassing core security policies implemented inside browsers such as the "Same Origin Policy," and "Content Security Policy," etc.

We will present several bypasses that were found in various mobile browsers during our research. In addition, we will also uncover other interesting security flaws found during our research such as Address Bar Spoofing, Content Spoofing, Cross Origin CSS Attacks, Charset Inheritance, CSP Bypass, Mixed Content Bypass, etc., as found in Android Browsers. We will also talk about the testing methodology that we used to uncover several android zero days.

Apart from the theory, our presentation will also disclose a dozen of the most interesting examples of security vulnerabilities and weaknesses highlighted above, which we identified in the most popular Android third-party web browsers, and in Android WebView itself.

We will explain the root cause of the bug and demonstrate their exploitation, show examples of vulnerable code and, where possible, patches that were issued to address these vulnerabilities. Finally, we will demonstrate a sample test suite which can be used to assess basic security properties of any mobile web/browser.