我剛剛嘗試了我今天下載的這個新應用程序,以及來自應用程序內部WebViews的通常社交網絡登錄信息讓我質疑某事...從iOS應用程序釣魚:可能嗎?
是否有可能需要Twitter/FB/Google登錄應用程序內部WebViews(不是Safari或他們自己的應用程序,如FB)以某種方式記錄我們在這些WebViews中寫入的數據,然後再將請求發送到網站,就像普通的網絡釣魚騙局一樣?
例如,我知道Twitter登錄使用OAuth從DIV捕捉PIN號碼,並使用它對抗API等。所以,也許同樣可以用文本域發生的,對不對?沒有?
無論如何,這只是一個愚蠢的問題,但我想我會問。
謝謝!
是的,通過一個UIWebView釣魚是可能的,通過injecting JavaScript into it。這可能是爲什麼Facebook的SDK現在打開Safari應用程序而不是作爲應用程序中的燈箱的一部分。
你在哪裏都使用JavaScript引擎,網絡釣魚是可能存在的(除非輸入框中輸入按摩)。任何應用程序被髮布在蘋果應用商店
之前,它是由蘋果公司爲惡意意圖等,所以我們可以說,從官方的Apple Store下載的應用相對安全的審查。當然,可能有一些應用程序可能沒有注意到安全問題,但網絡釣魚相當容易被專業人員發現。我不確定,但我想他們會檢查使用加密進行身份驗證的應用程序,以及應用程序是否直接登錄Twitter/FB/Google或製作MITM。
我不確定蘋果的審覈過程會抓住這類事情 – ceejayoz 2012-01-29 20:06:02
「輸入框按摩輸入」? – ceejayoz 2012-01-29 20:05:35