Фишинг из iOS-приложений: возможно?

Question

Я только что попробовал это новое приложение, которое я скачал сегодня, и этот обычный вход в социальную сеть из встроенных веб-приложений заставил меня спросить кое-что ...

Возможно ли, что некоторые приложения, требующие Twitter / FB /Вход в Google из встроенных веб-представлений (не Safari или их собственных приложений, таких как FB) каким-то образом записывает данные, которые мы записываем в эти веб-представления, перед отправкой запроса на сайт, как при обычной фишинг-атаке?

Например,Я знаю, что при входе в Twitter через oAuth ПИН-код отлавливается из div и используется против API и т. Д. Итак, может быть, то же самое может произойти с текстовыми полями, верно?Нет?

В любом случае, это просто глупый вопрос, но я подумал, что задам вопрос.

Спасибо!

Answer 1

Да, фишинг через UIWebView возможен, если внедрить в него JavaScript . Это может быть отчасти из-за того, что SDK Facebook теперь открывает приложение Safari вместо лайтбокса внутри приложения.

Answer 2

Прежде чем какое-либо приложение будет опубликовано в Apple Application Store, оно проверяется Apple на предмет злонамеренных намерений и т. Д. Таким образом, мы можем сказать, что приложения, загруженные из официального Apple Store, относительно безопасны. Конечно, могут быть некоторые приложения, которые могут иметь незаметные проблемы с безопасностью, но профессионалы могут легко обнаружить фишинг. Я не знаю наверняка, но я предполагаю, что они проверяют, использует ли приложение шифрование для аутентификации, и если приложение напрямую регистрируется в Twitter / FB / Google или создает MITM.

Answer 3

Где бы ни использовался движок JavaScript, там возможен фишинг (если только поля ввода не массируют ввод).