המפתח קרייג הונקברי פרסם מאמר בבלוג שלו לפני כמה שעות כדי להזהיר את משתמשי iOS.דפדפנים בתוך האפליקציה נחשבים מסוכנים
, תואר מי שגילה התנהגות מוזרה בתוך יישומים רבים.
על פי התצפיות של הוכנברי,דפדפנים נגישים מאפליקציותמסוגלים לצפות בכל ערך שנעשה על ידי המשתמש, לרבות כשמדובר במילויטפסים מאובטחיםעל ידי מתן מידע אישי, מזהי חיבור או אפילו מספרי כרטיסי בנק.
יישומים רבים למעשה משתמשים בדפדפן משולב, במיוחד כשמדובר בחיבור לשירות שיתוף כמוXאוֹפייסבוק. על מנת להדגיש את פגם האבטחה הזה, המפתח יצר אפליקציה שדורשת חיבור לטוויטר, וכוללתמודול המציג באופן אוטומטי וברור כל מידע שהוזן, לא(וזו הבעיה)סיסמת המשתמש. אם אפשר היה להניח שהתהליך הזה היה מאובטח כמו בעת חיבור דרך ספארי, Hockenberry מוכיח שלמעשה די פשוט עבור המפתחללכוד פרטי התחברות של משתמשים ללא ידיעתו.
זה לא דיוג
, מציין את היזם,האתר המוצג הוא אכן הטוויטר האמיתי. ניתן ליישם טכניקה זו על כל אתר עם טופס. [...] האפליקציה גונבת את שם המשתמש והסיסמה שלך על ידי התבוננות במה שאתה מקליד באתר. אין שום דבר שבעל האתר יכול לעשות בנידון.
Hockenberry מוסיף כי הטכניקה הזו נוסתה בהצלחהiOS 7 ו- iOS 8, וזו הסיבה לבקשהTwitterrific: צייץ בדרך שלך (מתוכם הוא מפתח פונקציות מסוימות)תכננו בתחילה אמערכת חילופי אסימונים מאובטחתבספארי, למרות שזה סיבך מעט את הליך הכניסה למשתמש. נוהג זה, לעומת זאת, לא התאים לאלפי ה-App Store ונחשב מנוגד לכללי החנות הוירטואלית, מה שאילץ את החברה לבדוק את מערכת החיבורים שלה ובכך להחמיץ את יום שחרורו של iOS 8 להפצת העדכון שלך אפליקציה(ראשון ללקוח הטוויטר המפורסם).
בזמן ההמתנה למציאת פתרון משביע רצון שישמור על נתוני המשתמש, המפתח ממליץהימנע מהזנת אישורי הכניסה שלך או כל מידע רגיש אחר בדפדפן המשולב באפליקציה.
