in

震驚!第三方app內置瀏覽器極易偷密碼  要解決問題極度困難?

ios-in-app-secruity

不少apps都會連結社交網絡,大家登入時可能會彈出一個內置的瀏覽器。用家可能認為,有關社交網絡本身有加密,就放心地輸入密碼。但其中一位負責開發Twitterific的Craig Hockenberry發現,apps的程式開發員只要稍為動手腳,就很容易偷到用家登入名稱和密碼。

不少apps在要求用家連結社交網絡時,都會彈出一個內置的瀏覽器,像上述影片中要求大家輸入登入名稱和密碼。大家從上述影片所看到的,頂部顯示若要偷取資料時的情況,下面則是內置的瀏覽器。留意這是真正的Twitter登入網站,而不是什麼假網站。程式設計員只要在背後活用JavaScript的技巧配合,就可以輕易睇到用家在apps內置瀏覽器輸入的所有資料,包括密碼在內。

可惜的是,Craig目前仍想不到方法解決,而蘋果要解決此問題亦不容易,但他建議蘋果可考慮在這些apps的內置瀏覽器加OAuth安全認證。

上述這個安全問題影響包括iOS 7和iOS 8,早前的iOS就更不用說。用家可以做的,唯有就是下載信得過的apps。

來源

記者:阿鬼

天生火爆,用一團火和光合作用,繼續盡力發聲做記者。