サイバーセキュリティエンジニアリング部の西村です。先日、PacSec 2016というセキュリティカンファレンスでiOS版Firefoxの脆弱性に関する講演をしてきました。 iOS版FirefoxはWebページの表示にiOSのWKWebViewを使用しており、講演の中で紹介した脆弱性はいずれもWKWebViewを利用するiOSアプリで発生しうるものです。この記事では、iOS版Firefoxの脆弱性事例を元に、WKWebViewでURLを取り扱う際に注意すべきポイントを紹介します。 URLのuserinfoフィールドを考慮する WKWebViewでは、urlというプロパティを用いて、現在表示しているWebページのURLを取得できます。しかし、urlプロパティの値を表示するとき、注意すべき点があります。それは、URLのuserinfoというフィールドです。 URLの仕様を定めるRFC 3986で
![iOSのWKWebViewでURLを扱う際に注意すべき脆弱性](https://cdn-ak-scissors.b.st-hatena.com/image/square/8dc22ed3e0426abd36c5f62c88db666e6b534d92/height=288;version=1;width=512/https%3A%2F%2Fs3-ap-northeast-1.amazonaws.com%2Fprod-rtc-blog%2Fwp-content%2Fuploads%2F2016%2F11%2F17200245%2F259847348faf8ff2ddf2342cb3c019f4-e1479727325682.jpg)