Apple News

Apple News

Προσέξτε να χρησιμοποιήσετε το πρόγραμμα περιήγησης οποιασδήποτε εφαρμογής εκτός από το Safari, έως ότου η Apple διορθώσει αυτήν την τρύπα ασφαλείας iOS

instagram viewer

Προσέξτε να χρησιμοποιήσετε οποιοδήποτε πρόγραμμα περιήγησης, εκτός από το Safari, έως ότου η Apple διορθώσει αυτήν την τρύπα ασφαλείας iOS

Να είστε προσεκτικοί όταν συνδέεστε σε ιστότοπους όπως το Twitter και το Facebook χρησιμοποιώντας προγράμματα περιήγησης εντός εφαρμογής.
Να είστε προσεκτικοί όταν συνδέεστε σε ιστότοπους όπως το Twitter και το Facebook χρησιμοποιώντας προγράμματα περιήγησης εντός εφαρμογής.

Εάν χρησιμοποιείτε τακτικά μια εφαρμογή iPhone ή iPad που χρησιμοποιεί ενσωματωμένο πρόγραμμα περιήγησης, ενδέχεται να είστε ευάλωτοι σε μια σημαντική ευπάθεια στο iOS που επιτρέπει σε αδίστακτους προγραμματιστές εφαρμογών να κατασκοπεύουν την πληκτρολόγησή σας.

Η ευπάθεια ανακαλύφθηκε από τον Craig Hockenberry, έναν από τους προγραμματιστές πίσω από το Twitter για iOS, ο οποίος έχει χρησιμοποιήσει blog για να προειδοποιήσει τους χρήστες iOS σχετικά με τα ζητήματα ασφαλείας που ενυπάρχουν στη χρήση φυλλομετρητών εντός εφαρμογής: συγκεκριμένα, ότι μια εφαρμογή μπορεί να κατασκοπεύει όλα όσα εισάγονται στο πρόγραμμα περιήγησής της εντός εφαρμογής.

Ο Hockenberry δημοσίευσε ένα βίντεο και μια εφαρμογή απόδειξης της ιδέας στο

δείχνουν την ευπάθεια στην πράξη. Όπως μπορείτε να δείτε, μπορεί να συλλάβει ακόμη και κωδικούς πρόσβασης.

Ο Hockenberry εξηγεί το hack:

- Οι πληροφορίες στο επάνω μέρος της οθόνης δημιουργούνται από την εφαρμογή και όχι από την ιστοσελίδα. Αυτές οι πληροφορίες θα μπορούσαν εύκολα να μεταφορτωθούν σε απομακρυσμένο διακομιστή.

- Αυτό δεν είναι ηλεκτρονικό "ψάρεμα": ο ιστότοπος που εμφανίζεται είναι ο πραγματικός ιστότοπος Twitter. Αυτή η τεχνική μπορεί να εφαρμοστεί σε οποιονδήποτε ιστότοπο έχει φόρμα εισαγωγής. Όλα όσα πρέπει να γνωρίζει ο εισβολέας μπορούν εύκολα να ληφθούν με την προβολή του κοινού που αντιμετωπίζει το HTML στον ιστότοπο.

- Η εφαρμογή κλέβει το όνομα χρήστη και τον κωδικό πρόσβασής σας παρακολουθώντας τι πληκτρολογείτε στον ιστότοπο. Δεν υπάρχει τίποτα που μπορεί να κάνει ο ιδιοκτήτης ιστότοπου για αυτό, καθώς η προβολή ιστού έχει τον έλεγχο της JavaScript που εκτελείται στο πρόγραμμα περιήγησης.

- Το περιεχόμενο του ιστότοπου έχει επίσης τροποποιηθεί: το κείμενο στην ετικέτα του κουμπιού είναι συνήθως "Σύνδεση" και έχει αλλάξει σε "SUCK IT UP". Φαινόταν κατάλληλο.

- Αυτή η τεχνική λειτουργεί σε iOS 7 και 8 (και πιθανώς παλαιότερες εκδόσεις, αλλά δεν είχα εύκολο τρόπο να τις δοκιμάσω).

Βασικά, μέχρι να διορθωθεί αυτό, θα πρέπει να σκεφτείτε δύο φορές να συνδεθείτε σε οποιονδήποτε ιστότοπο τρίτου μέρους μέσω προγράμματος περιήγησης εντός εφαρμογής. Αντ 'αυτού, πρέπει να συνδέεστε μόνο σε ιστότοπους με το Safari, όχι σε ιστότοπους που χρησιμοποιούν το πρόγραμμα περιήγησης εντός εφαρμογής του iOS... το οποίο, δυστυχώς, περιλαμβάνει προγράμματα περιήγησης iOS τρίτων κατασκευαστών, όπως το Chrome.

Πηγή: Furbo

click fraud protection

Κατηγορίες

Τελευταία δημοσίευση ιστολογίου

| Cult of Mac
September 11, 2021

Η Apple κυκλοφορεί ενημερώσεις για iOS, OS X, watchOS και tvOSΈφτασε το iOS 9.3.3.Φωτογραφία: Ste Smith/Cult of MacΜαζί με τη σπορά μιας παρτίδας ν...

Το WWDC 2015 ήταν μια απλή αναβάθμιση «S», αλλά δεν πειράζει
September 11, 2021

Κάθε δεύτερη χρονιά η Apple κυκλοφορεί μια έκδοση "S" του iPhone. Αργότερα φέτος, θα δούμε τα iPhone 6s και 6s Plus. Τα μοντέλα "S" γενικά προσφέρο...

Το WhatsApp φέρνει εκτεταμένη κοινή χρήση αρχείων, καρφίτσωμα συνομιλίας στο iPhone
September 11, 2021

Το WhatsApp μόλις κυκλοφόρησε μια μεγάλη ενημέρωση στο iPhone που κάνει τη δημοφιλέστερη υπηρεσία ανταλλαγής μηνυμάτων στον κόσμο ακόμη πιο χρήσιμη...