Ügyeljen arra, hogy a Safari kivételével bármely alkalmazás böngészőjét használja, amíg az Apple meg nem oldja ezt az iOS biztonsági rést
Ha rendszeresen használ egy beépített böngészőt használó iPhone- vagy iPad-alkalmazást, akkor sebezhetővé válhat az iOS egyik fő sérülékenysége miatt, amely lehetővé teszi a gátlástalan alkalmazásfejlesztők számára, hogy kémkedjenek a gépelés iránt.
A sérülékenységet Craig Hockenberry fedezte fel, aki a Twitter for iOS egyik fejlesztője, és az övé lett blog hogy figyelmeztesse az iOS felhasználókat az alkalmazáson belüli böngészők használatából eredő biztonsági problémákra: nevezetesen arra, hogy egy alkalmazás kémkedhet minden alkalmazáson belüli böngészőbe beírt adat után.
Hockenberry közzétett egy videót és egy koncepció-igazoló alkalmazást mutatják a sebezhetőséget a működés során. Mint látható, akár jelszavakat is rögzíthet.
Hockenberry elmagyarázza a hacket:
- A képernyő tetején található információkat az alkalmazás generálja, nem a weboldal. Ez az információ könnyen feltölthető a távoli szerverre.
- Ez nem adathalászat: a megjelenített webhely a tényleges Twitter webhely. Ez a technika alkalmazható minden olyan webhelyen, amely rendelkezik beviteli űrlappal. Minden, amit a támadónak tudnia kell, könnyen elérhető a webhely nyilvános HTML -kódjának megtekintésével.
- Az alkalmazás ellopja felhasználónevét és jelszavát, figyelve, hogy mit ír a webhelyen. A webhelytulajdonos semmit nem tehet ez ellen, mivel az internetes nézet irányítja a böngészőben futó JavaScriptet.
- A webhely tartalma is módosul: a gombcímke szövege általában „Bejelentkezés”, és „SUCK IT UP” -ra változott. Helyénvalónak tűnt.
- Ez a technika működik az iOS 7 és 8 rendszereken (és valószínűleg a korábbi verziókban is, de nem volt egyszerű módom a tesztelésre).
Alapvetően, amíg ezt nem oldják meg, kétszer is meg kell fontolnia, hogy bejelentkezik-e bármely harmadik fél webhelyére egy alkalmazáson belüli böngészőn keresztül. Ehelyett csak a Safarival kell bejelentkeznie a webhelyekre, nem az iOS alkalmazáson belüli böngészőjét használó webhelyekre, amelyek sajnos harmadik féltől származó iOS-böngészőket is tartalmaznak, például a Chrome-ot.
Forrás: Furbo