自定义URL方案是否安全?

时间:2014-03-18 22:29:09

标签: android ios

假设用户忘记了密码并请求了电子邮件链接以重置密码。电子邮件可能包含重置密码的URI链接。如果这是Android或iOS中注册URI方案的URI,这是安全吗?

例如,如果URI被广播到监听器应用程序,恶意应用程序是否可以使用此URI并在幕后重置原始站点用户的登录用户名和密码?

恶意应用程序可以注册接收来自任何域的链接,还是有限制? (iOS或Android)


更新:我正在谈论的深层链接是:

2 个答案:

答案 0 :(得分:2)

在Android设备上,如果使用相同的深层链接URI方案注册了多个应用程序,我相信您会收到一个选择器对话框。这允许用户选择实际用于解析深层链接URI的应用程序并完成操作:

Complete action intent chooser dialog

不完全确定为什么iOS没有选择实现类似的东西,尽管我认为这是因为它有时会提供一些有点不方便和/或令人困惑的用户体验。

答案 1 :(得分:1)

在iOS中注册自定义URL方案没有任何安全性。 Apple的文档说明

  

如果有多个第三方应用注册处理相同的网址方案,则目前无法确定将为该方案提供哪个应用。

我不确定Android的情况如何,但我怀疑它是相似的 - 该方案只是列在清单文件中。

对于有人利用它,他们需要

  1. 确定您的技术& uri格式
  2. 制作应用程序以利用它
  3. 将该应用程序放入应用程序商店(进入Apple App Store更加棘手 - 该应用程序实际上必须是一个特洛伊木马,并且利用漏洞利用功能提供一些主要价值。< / LI>
  4. 让用户安装应用
  5. 等待用户忘记密码
  6. 根据我对您的问题的评论,您需要评估应用程序环境中的风险以及帐户授予的访问权限,但从表面上看,漏洞利用的可能性似乎很低