| 24 сен 2014 — 11:32 PT
[youtube=https://www.youtube.com/watch?v=2Bl-pJBHYuc]
Разработчик приложений Крейг Хокенберри опубликовал статью сегодня под названием «Встроенные браузеры считаются вредными», предупреждая разработчиков и пользователей о проблемах безопасности, связанных с приложениями, использующими эту функцию. «Удивило бы вас узнать, что каждое из этих приложений может подслушивать вашу клавиатуру? Даже когда вы находитесь на экране безопасного входа с полем для пароля?»
Многие приложения перенаправляют пользователей во встроенный браузер для выполнения таких действий, как аутентификация в связанных службах. Например, вход в приложение с использованием учетных данных Facebook или Twitter, как показано в демонстрационном видео выше. Вы можете предположить, что это так же безопасно, как делать это через Safari, но Хокенберри отмечает, что, в отличие от Safari, злоумышленнику относительно легко использовать эту функцию для перехвата имени пользователя и пароля:
Это не фишинг: показанный сайт — это реальный сайт Twitter. Эту технику можно применить к любому сайту, имеющему форму ввода. Все, что нужно знать атакующему, легко получить, просмотрев общедоступный HTML на сайте… Приложение крадет ваше имя пользователя и пароль, наблюдая за тем, что вы печатаете на сайте. Владелец сайта ничего не может с этим поделать, поскольку веб-представление контролирует JavaScript, выполняемый в браузере.
В отчете добавляется, что техника была протестирована на iOS 7 и iOS 8. Хокенберри говорит, что именно поэтому приложение его компании Twitterrific «обменивалось токенами в Safari, хотя это более сложное взаимодействие с пользователем и более сложная техническая реализация». Однако это не является требованием процедур проверки приложений Apple, и пользователи могут считать, что встроенный браузер так же безопасен, как Safari.
К сожалению, текущая политика проверки приложений Apple не согласуется с этой рекомендацией или с предыдущей реализацией Twitterrific. Именно поэтому наше обновление для iOS 8 было отложено — впервые с момента запуска App Store мы не выпустили новую версию в день релиза.
В статье не дается никаких четких рекомендаций Apple по устранению проблемы, и отмечается, что «Apple придется выпустить новую версию iOS для каждой версии, включающей Safari и WebKit», чтобы исправить основную проблему в WebKit и UIWebView. «Нет, это не ошибка WebKit… Проблема в том, что приложение iOS имеет такой же доступ к этим технологиям, как и разработчик веб-страницы».
А пока Хокенберри предлагает пользователям избегать ввода конфиденциальной информации (имен пользователей или паролей) во встроенных браузерных окнах.