您如何防止移动应用中的网络钓鱼?
想象一下,您的移动设备上安装的游戏X想要从社交网络Y访问您的帐户信息。假设Y公开了一些API,并具有“使用Y登录”等功能。在桌面PC X上可以弹出新的浏览器窗口,在地址栏中清楚地显示Y的域,带有明确指示SSL连接的挂锁图标,在此弹出窗口中,社交网络Y会要求用户提供登录,密码和协议以传递一些信息(如名称) ,avatar,电子邮件)到应用程序X.例如OAuth 2使用这种方法。
在我看来,在移动设备上情况有所不同,因为应用程序X可以控制整个屏幕。特别是它可以在设备的屏幕上绘制与真实浏览器无法区分的东西,并劫持用户提供的登录和密码。
如何打击覆盖整个屏幕并伪装成浏览器的恶意应用程序,甚至操作系统的设置窗口等?
3 个答案:
答案 0 :(得分:3)
即使在桌面上也没有针对此的技术防御。模仿浏览器的外观并将绿色SSL锁绘制到虚假地址栏中是微不足道的。或者,您只需在应用程序中包含一个密钥记录器,即可在同一系统上的任何应用程序中输入密码。
对于移动应用程序,包括键盘记录器更难。绘制令人信服的假浏览器窗口很容易。另一个防御是应用商店的审核流程。官方应用程序商店作为受信任应用程序的唯一来源,可在一定程度上缓解此类问题。虽然恶意应用程序可以通过任何审核流程,但一旦发现它们就可以删除。
答案 1 :(得分:2)
如何:双击主页按钮以查看应用程序名称?
答案 2 :(得分:0)
您还可以运行任务管理器以查看应用程序的名称f.e. com.android.chrome。我认为谷歌不会在市场上允许两个同名的应用程序。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?