专家称美国艳照泄露或因第三方浏览器导致

2014-09-25 10:21 稿源:创见网  0条评论

刷微博的时候看到一个链接,自然很轻松地点击进去可以观看,不用复制链接到原生浏览器当中——这是很方便的一件事。但安全专家 Craig Hockenberry 近日撰文,建议用户使用 iOS 原生的 Safari 浏览器来完成一些需要输入用户名密码的任务。

当然,举这个例子不是在于说微博不安全,而是说明第三方应用内置的浏览器安全性参差不齐,更别提某些开发者故意在浏览器当中加入这种功能。为了证明这种观点,Hockenberry 录制了一段视频,自己写了一个应用,通过内置的浏览器打开 Twitter 的官方 移动版登陆页面。

我们所看到的画面上方的输入框劫持功能,并不是网页的问题,而是应用内部夹带的功能,Hockenberry 知识直接把这个功能显示了出来而已。

苹果曾经指出此前好莱坞女星艳照泄露事件是由于用户「登陆了仿冒 iCloud 的钓鱼网站」。而看完本视频,或许你能够明白——通过第三方应用内置浏览器的方式,即便登录的是正确的网站也可以被劫持用户名和密码,只要当前网页上有输入框,就可以劫持。

观察仔细的读者可能还会发现 sign in 的按钮被改成了 suck it up……Hockenberry 认为这不是钓鱼网站,而是第三方应用浏览器可以做到的功能——本地修改网页上的显示内容。他表示,iOS 7 和 8 应用都可以在开发时被加入这种功能,就看用户是否通过非官方渠道(比如越狱)安装了某些恶意应用,或者应用提交到苹果的应用商城而苹果在审核的时候是否能够发现。

目前唯一能够免疫的方法:用 Safari 浏览器登录需要输入密码的网站……

有好的文章希望站长之家帮助分享推广,猛戳这里我要投稿

相关文章

相关热点

查看更多