キーロギングの可能性があるため、開発者はiOSでアプリ内ブラウザを使用しないよう警告

Twitterriffic の開発者の 1 人である Craig Hockenberry 氏は、アプリ内ブラウザについて iOS ユーザーに警告する ブログ投稿を書き 、これは「有害であると考えられている」と述べています。 Hockenberry 氏によると、ビデオで概要が説明されているように、アプリ内ブラウザには、安全なログイン画面であっても、入力内容を記録する機能があります。

これは、悪意のある開発者が、アプリ内ブラウザを使用してアプリを作成し、そのブラウザで Twitter や Facebook などの Web サイトにログインするユーザーのユーザー名とパスワードを取得する可能性があることを意味します。既存のアプリの多くは、単にログインプロセスを簡単にするために、アプリ内ブラウザを使用してユーザーが既存のソーシャルメディアアカウントでログインするなどの操作を実行できるようにしていますが、悪用の可能性もあるようです。

表示されている内容について、いくつか注意すべき点があります。

画面上部の情報は、Web ページではなくアプリによって生成されます。この情報はリモート サーバーに簡単にアップロードできます。

これはフィッシングではありません。表示されているサイトは実際の Twitter Web サイトです。この手法は、入力フォームがあるあらゆるサイトに適用できます。攻撃者が知る必要がある情報は、サイト上の公開 HTML を表示することで簡単に入手できます。

このアプリは、ユーザーがサイトに入力した内容を監視して、ユーザー名とパスワードを盗みます。 Web ビューはブラウザ内で実行される JavaScript を制御できるため、サイト所有者がこれに対してできることは何もありません。

Hockenberry 氏は、ユーザー名とパスワードの取得は iOS 7 と iOS 8 の両方で機能し、iOS の以前のバージョンでも機能する可能性があると述べていますが、ビデオで紹介されているテクニックは使用できるため、これはバグではないとすぐに指摘しました。 「善も悪も」のために。

WebKit と UIWebView の両方の中核となる動作を修正するには、Safari と WebKit を含む iOS のすべてのバージョンを更新する必要があるため、ホッケンベリー氏は Apple に対して明確な解決策を念頭に置いていませんが、同社が OAuth でユーザーを保護できる可能性があることを示唆しています。

エンドユーザーに関しては、Safari 以外のアプリを使用する場合は個人情報を入力しないようホッケンベリー氏は警告している。 Web コンテンツの閲覧は安全ですが、個人情報に関する懸念がある場合は、Safari でリンクを開くことをお勧めします。アプリ内ブラウザのセキュリティ、OAuth、および Hockenberry 氏の推奨事項の詳細については、彼の 元のブログ投稿 を参照してください。