Steinböck, M. (2022). Android vs. iOS: : security of mobile Deep Links [Diploma Thesis, Technische Universität Wien]. reposiTUm. https://doi.org/10.34726/hss.2022.93327
iOS; deep links; mobile security; privacy; Android
en
Abstract:
Bridge the Gap is a trend that aims to allow web browsers to start smartphone apps on a mobile device. This is achieved by so-called Deep Links, which enable direct linking to specific in-app resources. However, the resulting fusion of the web and native apps also introduces new attack vectors. There are numerous studies on security and privacy concerns of Deep Links on the open-source operating system Android, showing that these are prone to threats such as hijacking. The proprietary operating system iOS has a similar implementation of deep linking mechanisms to Android. However, there are not many publications on this matter, possibly due to the unavailability of iOS’ source code. In this thesis, we investigate the security of mobile Deep Links. First, we present known attack scenarios for Android with regards to Custom Schemes and App Links. Then, we consider the applicability of these attack vectors to deep linking mechanisms on iOS. Therefore, we develop vulnerable apps implementing discussed security issues, analyze whether an attacker could abuse them, and what security and privacy implications this has. Next, we compare our results to the corresponding mechanisms and security concerns of Android. Finally, to gain an insight into the actual security implications of the presented attack vectors, we analyze the distribution of Deep Links in the wild, based on a dataset containing over 11,000 iOS apps from the official Apple App Store.
en
Bridge the Gap bezeichnet einen Trend, Smartphone Apps von einem Web-Browser aus zu starten. Das wird erreicht durch sogenannte Deep Links, die es ermöglichen, direkt zu spezifischen Inhalten einer App zu navigieren. Die dadurch gewonnene Fusion zwischen Web und nativen Apps hat jedoch auch neue Angriffsvektoren geschaffen. Für das Open Source Betriebssystem Android gibt es bereits zahlreiche Untersuchungen, die zeigen, dass Deep Links aufgrund ihrer Anfälligkeit für Bedrohungen wie beispielsweise Hijacking ein Sicherheitsrisiko darstellen können. Apples proprietäres Betriebssystem iOS verfügt über eine ähnliche Umsetzung von Deep Linking-Mechanismen, allerdings wurde bisher nur wenig Literatur dazu veröffentlicht – vermutlich aufgrund des fehlenden Source Codes. In dieser Arbeit untersuchen wir die Sicherheit von Deep Links auf iOS. Zunächst präsentieren wir bekannte Angriffsszenarien für Android, sowohl in Bezug auf Custom Schemes, als auch auf App Links. Anschließend untersuchen wir deren Anwendbarkeit auf Deep Linking-Mechanismen von iOS. Dafür entwickeln wir für jedes Szenario vulnerable Apps, die besagte Sicherheitsprobleme implementieren und analysieren, ob diese von einem Angreifer potentiell ausgenutzt werden können und mit welchen Folgen. Die Resultate stellen wir jeweils mit der zugehörigen Situation auf Android gegenüber. Abschließend, um die tatsächlichen Auswirkungen von Schwachstellen in Deep Links auf reale Endnutzer darzustellen, untersuchen wir die Verbreitung von Deep Links anhand eines Datensets von über 11.000 iOS-Apps aus dem offiziellen Apple-App Store.