我刚刚尝试了今天下载的这个新应用程序,并且从应用程序内部WebViews通常的社交网络登录让我有些疑问......
有些应用程序需要Twitter / FB / Google从应用程序内WebViews(不是Safari或他们自己的应用程序,如FB)登录,以某种方式记录我们在这些WebView中写入的数据,然后再将请求发送到网站在一个常见的网络钓鱼骗局?
例如,我知道使用oAuth的Twitter登录会从div中捕获PIN号并将其用于API等等。因此,文本字段可能会发生同样的情况,对吧?否?
无论如何,这只是一个愚蠢的问题,但我想我会问。
谢谢!
答案 0 :(得分:3)
是的,可以通过injecting JavaScript into it通过UIWebView进行网上诱骗。这可能是Facebook的SDK现在打开Safari应用程序而不是应用程序中的灯箱的原因之一。
答案 1 :(得分:0)
在Apple Application Store中发布任何应用程序之前,Apple会对其进行恶意评估等等。因此我们可以说从官方Apple Store下载的应用程序相对安全。当然,可能有一些应用程序可能会出现未被注意的安全问题,但专业人员很容易发现网络钓鱼。我不确定,但我猜他们会检查应用程序是否使用加密进行身份验证,如果应用程序直接登录Twitter / FB / Google或制作MITM。
答案 2 :(得分:-1)
在使用javascript引擎的地方,可以进行网上钓鱼(除非输入框按摩输入)。