私が今日ダウンロードしたこの新しいアプリを試していて、アプリ内WebViewsからの通常のソーシャルネットワークのログインは、私に何か質問をしました...iOSアプリからのフィッシング:可能ですか?
Twitter/FB/Googleログインが必要なアプリ(SafariやFBなどの独自のアプリではない)アプリ内WebViewでは、一般的なフィッシング詐欺のようにリクエストをサイトに送信する前に、これらのWebViewに書き込むデータを何らかの形で記録しますか?
たとえば、oAuthを使用したTwitterのログインがdivのPIN番号をキャッチし、APIなどに対して使用していることがわかりました。そう、Text Fieldsでも同じことが起こる可能性があります。いいえ?
とにかく、それは単なる愚かな質問ですが、私は尋ねると思っていました。
ありがとうございます!
はい、injecting JavaScript into itでUIWebViewによるフィッシングが可能です。これは、なぜFacebookのSDKがアプリ内のライトボックスではなくSafariアプリを開くのかの一部である可能性があります。
これまでのところ、JavaScriptエンジンを使用している場合、フィッシングが可能です(入力ボックスの入力がない限り)。
アップルのアプリケーションストアに公開される前に、アップルが悪意のある意図などを確認しています。公式のアップルストアからダウンロードしたアプリケーションは比較的安全です。もちろん、気付いていないセキュリティ問題があるかもしれないが、フィッシング詐欺は専門家によって検出するのが簡単なアプリケーションもあります。私は確かにわからないが、認証のために暗号化を使用するアプリケーションか、アプリが直接Twitter/FB/GoogleにログインするかMITMを作るかどうかを確認すると思う。
私は、Appleのレビュープロセスがこの種のことを理解するかどうかはわかりません – ceejayoz
"入力ボックスマッサージ入力"? – ceejayoz