Крейг Хокенберри, один из разработчиков приложения Twitterrific, опубликовал в своем блоге предупреждение для пользователей iOS о встроенных в приложения браузерах, которые, по его словам, «считаются вредными». По словам Хокенберри, как показано в видео, встроенный браузер способен записывать набираемый текст, даже на защищенной странице входа.
Это означает, что недобросовестный разработчик может создать приложение со встроенным браузером для перехвата имен пользователей и паролей, которые пользователи вводят при входе на такие сайты, как Twitter или Facebook. Многие существующие приложения используют встроенные браузеры, чтобы пользователи могли выполнять такие действия, как вход с помощью уже существующей учетной записи в социальной сети, просто для упрощения процесса входа, но, похоже, существует и потенциал для злоупотреблений.
Несколько моментов, которые стоит отметить:
Информация в верхней части экрана генерируется приложением, а не веб-страницей. Эту информацию легко можно загрузить на удаленный сервер.
Это не фишинг: показанный сайт — это реальный сайт Twitter. Этот метод может быть применен к любому сайту, имеющему форму ввода. Все, что нужно злоумышленнику, он может легко получить, просмотрев общедоступный HTML-код сайта.
Приложение крадет ваше имя пользователя и пароль, отслеживая, что вы набираете на сайте. Владелец сайта ничего не может с этим поделать, поскольку веб-представление контролирует JavaScript, выполняющийся в браузере.
Хокенберри утверждает, что перехват имен пользователей и паролей работает как в iOS 7, так и в iOS 8, а также, возможно, и в более ранних версиях iOS, но он быстро отмечает, что это не ошибка, поскольку методы, продемонстрированные в видео, могут быть использованы как «во благо, так и во зло».
У Хокенберри нет четкого решения для Apple, поскольку исправление основного поведения WebKit и UIWebView потребует от компании обновления каждой версии iOS, включающей Safari и WebKit, но он предлагает, чтобы компания могла защитить пользователей с помощью OAuth.
Что касается конечных пользователей, Хокенберри предупреждает не вводить личную информацию при использовании приложения, которое не является Safari. Просмотр веб-контента безопасен, но он рекомендует пользователям открывать ссылки в Safari, если есть опасения по поводу конфиденциальной информации. Более подробную информацию о безопасности встроенных браузеров, OAuth и рекомендациях Хокенберри можно найти в его исходном посте в блоге.
