Site icon AppTractor

Приложение может перехватить ввод пароля во встроенном браузере в iOS

Крейг Хокенберри, разработчик приложения Twitterrific, обнаружил опасную уязвимость во встроенном браузере. Приложения в iOS 7 и iOS 8 (вероятно, и в более ранних версиях) могут перехватывать всю информацию, которую вводит пользователь в приложении через виртуальную клавиатуру, в том числе имена и пароли для авторизации.

Он создал демонстрационный пример, в котором просто получает имя и пароль из формы ввода:

Хокенберри пишет, что такую технику можно применить к любому сайту (на уровне приложения для iOS со встроенным браузером), и исправить эту уязвимость на стороне сайта невозможно. Что касается Apple, то и тут он говорит о том, что исправить это довольно сложно – для этого компании надо обновить все WebKit и UIWebView во всех версиях операционной системы.

Что касается простых пользователей, то он советует не вводить важную информацию за пределами Safari.

Exit mobile version