Applikasjonsutvikleren Craig Hockenberry har publisert en rapport der han advarer mot bruk av nettlesere som er innebygd i iOS-applikasjoner.
Det er tross alt veldig vanlig at diverse tredjeparts-apper sender brukeren til innebygde nettlesere for pålogging eller andre funksjoner, og omgås på denne måten for eksempel Safari.
Det er ikke trygt, mener Hockenberry, og det er relativt enkelt for uvedkommende å plukke opp brukernavn og passord på denne måten.
Applikasjonene kan essensielt se hva man taster inn, og det er fint mulig å se denne informasjonen hvis man går gjennom HTML-koden. Informasjonen genereres av appen, ikke nettsiden, og kan enkelt lastes opp til en annen server, skriver Hockenberry. Han påpeker også at eksempelet han viser i en video ikke er phishing, men det faktiske Twitter-nettstedet. Eierne av nettsiden kan ikke gjøre noe med problemet.
Hockenberry sier at han har fått de samme resultatene på både iOS 7 og iOS 8, og mest sannsynlig gjelder det eldre versjoner også.
Her viser Hockenberry hvordan appen kan lese påloggingsdata.
Han påpeker at selskapet han jobber for, som utvikler appen Twitterific, mener at den eneste måten å sikre seg på er å bruke Safari for pålogging. Det er den eneste nettleseren på iOS som er sikker nok. Problemet er at en slik fremgangsmåte åpner et nytt nettleservindu, noe som er mindre brukervennlig og forvirrende.
Hockenberry skriver at det ikke finnes noe enkel måte å løse problemet på heller, med mindre Apple skulle bestemt seg for å slippe en ny versjon av iOS for hver versjon av Safari eller WebKit, eller gjør om kravene til apputviklere om brukervennlighet - slik at det ble mer akseptert å gå over til Safari for inntasting av personlig informasjon.
Les også:
- [05.05.2014] Alvorlig feil i utbredt innloggingssystem
- [27.02.2014] OpenID tar ny sats
- [14.02.2014] Clef – farvel til passordet?