来自 iOS 应用的网络钓鱼：可能吗？

Posted 2023-02-24

【中文标题】来自 iOS 应用的网络钓鱼：可能吗？

【英文标题】：Phishing from iOS Apps: Possible?

【发布时间】：2012-01-29 03:07:24

【问题描述】：

我只是在试用我今天下载的这个新应用程序，从应用程序内 WebViews 进行的常用社交网络登录让我产生了疑问......

是否有可能某些需要 Twitter/FB/Google 从应用内 WebViews 登录的应用程序（不是 Safari 或他们自己的应用程序，如 FB）在将请求发送到网站之前以某种方式记录我们在这些 WebViews 中写入的数据，例如在常见的网络钓鱼诈骗中？

例如，我知道使用 oAuth 的 Twitter 登录会从 div 中捕获 PIN 码并将其用于 API 等。所以，文本字段可能会发生同样的情况，对吧？没有？

无论如何，这只是一个愚蠢的问题，但我想我会问。

谢谢！

【参考方案1】：

是的，injecting javascript into it 可以通过 UIWebView 进行网络钓鱼。这可能是 Facebook 的 SDK 现在打开 Safari 应用程序而不是应用程序内的灯箱的部分原因。

【参考方案2】：

在任何应用程序在 Apple Application Store 中发布之前，Apple 都会对其进行恶意审查等。所以我们可以说从官方 Apple Store 下载的应用程序是相对安全的。当然，有些应用程序可能存在未被注意到的安全问题，但专业人士很容易检测到网络钓鱼。我不确定，但我猜他们会检查应用程序是否使用加密进行身份验证，以及应用程序是否直接登录 Twitter/FB/Google 或制作 MITM。

【讨论】：

我不确定 Apple 的审核流程会发现这类事情

【参考方案3】：

无论何时使用 javascript 引擎，都可能发生网络钓鱼（除非输入框对输入进行按摩）。

【讨论】：

"输入框按摩输入"?