Dávejte si pozor na používání prohlížeče jakékoli aplikace kromě Safari, dokud Apple tuto díru zabezpečení iOS neopraví
Pokud pravidelně používáte aplikaci pro iPhone nebo iPad, která používá vestavěný prohlížeč, můžete být vystaveni velké chybě zabezpečení systému iOS, která umožňuje bezohledným vývojářům aplikací špehovat vaše psaní.
Tuto zranitelnost objevil Craig Hockenberry, jeden z vývojářů stojících za Twitterem pro iOS, který si vzal jeho blog varovat uživatele iOS před bezpečnostními problémy spojenými s používáním prohlížečů v aplikacích: totiž, že aplikace může špehovat vše, co se zadává do jejího prohlížeče v aplikaci.
Hockenberry zveřejnil video a aplikaci pro ověření koncepce ukázat zranitelnost v akci. Jak vidíte, dokáže dokonce zachytit hesla.
Hockenberry vysvětluje hack:
- Informace v horní části obrazovky generuje aplikace, nikoli webová stránka. Tyto informace lze snadno nahrát na vzdálený server.
- Nejedná se o phishing: zobrazený web je skutečný web Twitter. Tuto techniku lze použít na libovolném webu, který má vstupní formulář. Vše, co útočník potřebuje vědět, lze snadno získat prohlížením HTML na webu, které je určeno pro veřejnost.
- Aplikace krade vaše uživatelské jméno a heslo sledováním toho, co na web píšete. Vlastník webu s tím nemůže nic dělat, protože webové zobrazení má kontrolu nad JavaScriptem, který běží v prohlížeči.
- Upraven je také obsah webu: text na štítku tlačítka je obvykle „Přihlásit se“ a byl změněn na „VYCHÁZEJTE“. Zdálo se to vhodné.
- Tato technika funguje v systémech iOS 7 a 8 (a pravděpodobně v dřívějších verzích, ale neměl jsem snadný způsob, jak je otestovat).
V zásadě, dokud to nebude opraveno, byste si měli dvakrát rozmyslet, jak se přihlásit k jakémukoli webu třetí strany prostřednictvím prohlížeče v aplikaci. Místo toho byste se měli přihlašovat pouze na webové stránky pomocí Safari, nikoli na žádné weby, které používají prohlížeč iOS v aplikaci... což bohužel zahrnuje prohlížeče iOS jiných výrobců, jako je Chrome.
Zdroj: Furbo
