Var försiktig med att använda någon apps webbläsare utom Safari tills Apple fixar detta iOS -säkerhetshål
Om du regelbundet använder en iPhone- eller iPad-app som använder en inbyggd webbläsare kan du vara sårbar för en stor sårbarhet i iOS som gör att skrupelfria apputvecklare kan spionera på din skrivning.
Sårbarheten upptäcktes av Craig Hockenberry, en av utvecklarna bakom Twitter för iOS, som har tagit till sig blogg att varna iOS-användare om de säkerhetsfrågor som finns i att använda in-app-webbläsare: nämligen att en app kan spionera på allt som skrivs in i webbläsaren i appen.
Hockenberry lade upp en video och en proof-of-concept-app till visa sårbarheten i aktion. Som du kan se kan det till och med fånga lösenord.
Hockenberry förklarar hacket:
- Informationen högst upp på skärmen genereras av appen, inte webbsidan. Denna information kan enkelt laddas upp till fjärrservern.
- Detta är inte nätfiske: webbplatsen som visas är den faktiska Twitter -webbplatsen. Denna teknik kan tillämpas på alla webbplatser som har ett inmatningsformulär. Allt angriparen behöver veta kan enkelt erhållas genom att titta på den offentliga HTML -koden på webbplatsen.
- Appen stjäl ditt användarnamn och lösenord genom att titta på vad du skriver på webbplatsen. Det finns inget som webbplatsägaren kan göra åt detta, eftersom webbvyn har kontroll över JavaScript som körs i webbläsaren.
- Webbplatsinnehållet ändras också: texten på knappetiketten är normalt "Logga in" och har ändrats till "SUCK IT UP". Det verkade lämpligt.
- Denna teknik fungerar i iOS 7 och 8 (och förmodligen tidigare versioner, men jag hade inte ett enkelt sätt att testa dem).
I grund och botten, tills detta är åtgärdat, bör du tänka två gånger om att logga in på en tredjepartswebbplats via en webbläsare i appen. Istället bör du bara logga in på webbplatser med Safari, inte på webbplatser som använder iOS-webbläsare i appen... som tyvärr innehåller iOS-webbläsare från tredje part som Chrome.
Källa: Furbo
