智能家居厂家
免费服务热线

Free service

hotline

010-00000000
智能家居厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

隐私保护iOS应用内浏览器可能泄露密码8dd-【新闻】

发布时间:2021-04-06 04:12:24 阅读: 来源:智能家居厂家

【隐私保护】iOS 应用内浏览器可能泄露密码

Twitterriffic 的开发者 Craig Hockenberry 昨天在博客中写了一篇文章,表示目前 iOS 中的应用内浏览器(in-app browser)都比较不安全,甚至可以盗取用户的密码,他还录制了一段视频来说演示用内置浏览器盗取密码(当然具体方法肯定不会公布的)。根据 Craig Hockenberry 的解释,目前在软件内部加载的内部浏览器(in-app browser)所显示的页面上,用户在填写用户名和密码的输入框中输入的内容都是可以通过方法来被该应用获得的,即使加载的页面经过安全协议加密的。获取输入内容和网页没有任何关系,也不是网页的 bug,开发者只要在应用内动动小手脚就可以把用户的信息记录下来,之后是远程传回服务器还是如何处理就随心所欲了。Craig Hockenberry 做的 Demo App,演示如何获取应用内浏览器输入内容点此前往 YouTube 观看这就要牵扯到目前常用的第三方登陆最常用的 oAuth 协议,该协议可以使第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权。原则上看似安全,但是别忘了,oAuth 的授权页面现在大多数情况下也是在应用内浏览器(in-app browser)加载的,也就是说,虽然应用最后只需要 oAuth 生成的一串代码,但是用户在输入用户名和密码的时候,也不知道应用是不是做了手脚。几种内置浏览器加载的 oAuth 页面最最安全的做法是在应用内部需要第三方登陆的时候跳转到 Safari 进行授权,授权完毕后自动再跳回应用,这么做的话应用设计就比较麻烦,同时操作也比较繁琐,但是优点是永远不会在应用内部的浏览器中填写用户名和密码等敏感信息。最新版的 Twitterriffic 就准备采用这样的验证机制,在应用和 Safari 之间来回跳转进行验证,但据 Craig Hockenberry 说,目前这样的验证机制却不能通过苹果的审核,这也是为什么 Twitterriffic 第一次没有在 iOS 更新的同时发布更新。最近苹果深陷隐私安全问题,目前来看,苹果除了全面更新每一个版本的 iOS 和 Safari,否则只能采用上面的方法来可以阻止这个漏洞。目前也只有 Craig Hockenberry 提出他发现了这个方法,其他应用开发者是否会在自己的应用中采用该方法也不得而知,希望苹果能够采取一些行动吧。Craig Hockenberry 的博客原文写的更为详细,有兴趣的朋友可以去读一读。

文章纠错

南昌双轴破碎机

贵州空气源热泵报价

南京太空铝毛巾架

郑州电动剪叉式升降机