Vær forsigtig med at bruge enhver apps browser undtagen Safari, indtil Apple reparerer dette iOS -sikkerhedshul
Hvis du regelmæssigt bruger en iPhone- eller iPad-app, der bruger en indbygget browser, kan du være sårbar over for en større sårbarhed i iOS, der gør det muligt for skrupelløse appudviklere at spionere på din indtastning.
Sårbarheden blev opdaget af Craig Hockenberry, en af udviklerne bag Twitter til iOS, som har taget til sig blog at advare iOS-brugere om de sikkerhedsproblemer, der er forbundet med at bruge in-app-browsere: Nemlig at en app kan spionere på alt, hvad der bliver indtastet i sin in-app-browser.
Hockenberry lagde en video og en proof-of-concept app til vise sårbarheden i aktion. Som du kan se, kan den endda fange adgangskoder.
Hockenberry forklarer hacket:
- Oplysningerne øverst på skærmen genereres af appen, ikke websiden. Disse oplysninger kan let uploades til fjernserveren.
- Dette er ikke phishing: det viste websted er det faktiske Twitter -websted. Denne teknik kan anvendes på ethvert websted, der har en inputformular. Alt, hvad angriberen har brug for at vide, kan let opnås ved at se offentligheden, der vender HTML på webstedet.
- Appen stjæler dit brugernavn og din adgangskode ved at se, hvad du skriver på webstedet. Der er ikke noget, ejeren af webstedet kan gøre ved dette, da webvisningen har kontrol over JavaScript, der kører i browseren.
- Indholdet på webstedet er også ændret: teksten på knapetiketten er normalt "Log ind" og er blevet ændret til "SUCK IT UP". Det virkede passende.
- Denne teknik fungerer i iOS 7 og 8 (og sandsynligvis tidligere versioner, men jeg havde ikke en nem måde at teste dem på).
Grundlæggende, indtil dette er løst, bør du tænke to gange om at logge ind på et tredjepartswebsted via en in-app-browser. I stedet skal du kun logge ind på websteder med Safari, ikke nogen websteder, der bruger iOS's in-app-browser... som desværre inkluderer tredjeparts iOS-browsere som Chrome.
Kilde: Furbo