Προσέξτε να χρησιμοποιήσετε οποιοδήποτε πρόγραμμα περιήγησης, εκτός από το Safari, έως ότου η Apple διορθώσει αυτήν την τρύπα ασφαλείας iOS
Εάν χρησιμοποιείτε τακτικά μια εφαρμογή iPhone ή iPad που χρησιμοποιεί ενσωματωμένο πρόγραμμα περιήγησης, ενδέχεται να είστε ευάλωτοι σε μια σημαντική ευπάθεια στο iOS που επιτρέπει σε αδίστακτους προγραμματιστές εφαρμογών να κατασκοπεύουν την πληκτρολόγησή σας.
Η ευπάθεια ανακαλύφθηκε από τον Craig Hockenberry, έναν από τους προγραμματιστές πίσω από το Twitter για iOS, ο οποίος έχει χρησιμοποιήσει blog για να προειδοποιήσει τους χρήστες iOS σχετικά με τα ζητήματα ασφαλείας που ενυπάρχουν στη χρήση φυλλομετρητών εντός εφαρμογής: συγκεκριμένα, ότι μια εφαρμογή μπορεί να κατασκοπεύει όλα όσα εισάγονται στο πρόγραμμα περιήγησής της εντός εφαρμογής.
Ο Hockenberry δημοσίευσε ένα βίντεο και μια εφαρμογή απόδειξης της ιδέας στο
δείχνουν την ευπάθεια στην πράξη. Όπως μπορείτε να δείτε, μπορεί να συλλάβει ακόμη και κωδικούς πρόσβασης.Ο Hockenberry εξηγεί το hack:
- Οι πληροφορίες στο επάνω μέρος της οθόνης δημιουργούνται από την εφαρμογή και όχι από την ιστοσελίδα. Αυτές οι πληροφορίες θα μπορούσαν εύκολα να μεταφορτωθούν σε απομακρυσμένο διακομιστή.
- Αυτό δεν είναι ηλεκτρονικό "ψάρεμα": ο ιστότοπος που εμφανίζεται είναι ο πραγματικός ιστότοπος Twitter. Αυτή η τεχνική μπορεί να εφαρμοστεί σε οποιονδήποτε ιστότοπο έχει φόρμα εισαγωγής. Όλα όσα πρέπει να γνωρίζει ο εισβολέας μπορούν εύκολα να ληφθούν με την προβολή του κοινού που αντιμετωπίζει το HTML στον ιστότοπο.
- Η εφαρμογή κλέβει το όνομα χρήστη και τον κωδικό πρόσβασής σας παρακολουθώντας τι πληκτρολογείτε στον ιστότοπο. Δεν υπάρχει τίποτα που μπορεί να κάνει ο ιδιοκτήτης ιστότοπου για αυτό, καθώς η προβολή ιστού έχει τον έλεγχο της JavaScript που εκτελείται στο πρόγραμμα περιήγησης.
- Το περιεχόμενο του ιστότοπου έχει επίσης τροποποιηθεί: το κείμενο στην ετικέτα του κουμπιού είναι συνήθως "Σύνδεση" και έχει αλλάξει σε "SUCK IT UP". Φαινόταν κατάλληλο.
- Αυτή η τεχνική λειτουργεί σε iOS 7 και 8 (και πιθανώς παλαιότερες εκδόσεις, αλλά δεν είχα εύκολο τρόπο να τις δοκιμάσω).
Βασικά, μέχρι να διορθωθεί αυτό, θα πρέπει να σκεφτείτε δύο φορές να συνδεθείτε σε οποιονδήποτε ιστότοπο τρίτου μέρους μέσω προγράμματος περιήγησης εντός εφαρμογής. Αντ 'αυτού, πρέπει να συνδέεστε μόνο σε ιστότοπους με το Safari, όχι σε ιστότοπους που χρησιμοποιούν το πρόγραμμα περιήγησης εντός εφαρμογής του iOS... το οποίο, δυστυχώς, περιλαμβάνει προγράμματα περιήγησης iOS τρίτων κατασκευαστών, όπως το Chrome.
Πηγή: Furbo