In cazul in care credeati ca problemele Apple s-au oprit pe ziua de astazi la gafa impardonabila facuta cu iOS 8.0.1, atunci va inselati. Dezvoltatorul de aplicatii Craig Hockenberry a publicat un articol in care atentioneaza atat dezvoltatorii cat si utilizatorii cu privire la o serie de probleme de securitate asociate cu aplicatiile care au browsere integrate.
[quote_center]”Ai fi surprins sa stii ca fiecare dintre aceste aplicatii poate sa stie ceea ce tiparesti? Chiar si atunci cand folosesti o conexiune securizata?”[/quote_center]
Multe dintre aplicatii au integrat un navigator simplu “WebView” care este folosit pentru a deschide site-urile web sau pentru a face anumite actiuni cum ar fi autentificarea in conturile unor servicii asociate. De exemplu, o aplicatie care are integrat Facebook sau Twitter si iti cere sa te conectezi in contul tau, iti va afisa direct printr-un browser pagina de logare de pe reteaua sociala selectata. Ei bine, din pacate aceste browsere nu sunt prea sigure.
Cu toate ca Apple a gandit si integrat browser-ul WebView in SDK-ul iOS, acesta nu este atat de sigur precum Safari, de exemplu, deoarece poate fi exploatat mult mai usor de catre persoane rau intentionate ce vor sa iti fure numele de utilizator si parolele (ori alte informatii confidentiale). Furtul datelor protejate aparent de conexiunile securizate este posibil din browser-ul oricarei aplicatii, asadar, iar un atacator nu trebuie sa apeleze la metode de tip phishing. Se pare ca datele secrete pot fi obtinute prin vizualizarea acoperirii publice HTML a site-ului accesat, aplicatia putand fura, fara ca tu sa stii, numele de utilizator si parolele urmarind pur si simplu ceea ce tu tipareti pe site.
Din pacate, nu se stie care este posibila rezolvare, insa Hockenberry sustine ca aplicatia companiei sale, Twitterrific, a renuntat la browserele integrate pentru a solicita logarea utilizatorilor in conturile Twitter, apeland la o redirectionare facuta automat catre Safari. Apple, in schimb, poate sa descopere o modalitate prin care sa inlature eroarea destul de grava care poate lasa utilizatorii fara conturi sau cu datele compromise.
Recomandarea dezvoltatorului este sa evitam introducerea oricarui tip de informatii personale sau parole intr-un browser dintr-o aplicatie terte (repet, browser-ul Safari nu are aceasta problema).
