[youtube=https://www.youtube.com/watch?v=2Bl-pJBHYuc&w=580&h=370]
Większość aplikacji dostępnych w App Store au zintegrowana przeglądarka aby umożliwić otwieranie różnych Strony internetowe bez opuszczania ich, ale twórca aplikacji mówi nam, że są one bardzo niebezpieczne. Na powyższym klipie wideo masz demonstrację udokumentowanej przez niego luki, która pozwala twórcom aplikacji monitorować wszystko, co wpisujemy za pomocą wirtualnej klawiatury iOS, nawet jeśli uzyskujemy dostęp do bezpiecznych stron lub bezpiecznych formularzy.
To nie jest phishing: pokazana witryna jest rzeczywistą witryną Twittera. Technikę tę można zastosować w przypadku dowolnej witryny wyposażonej w formularz wejściowy. Wszystko, co osoba atakująca musi wiedzieć, można łatwo uzyskać, wyświetlając publicznie dostępny kod HTML w witrynie... Aplikacja kradnie Twoją nazwę użytkownika i hasło, obserwując, co wpisujesz w witrynie. Właściciel witryny nie może nic z tym zrobić, ponieważ widok sieciowy ma kontrolę nad JavaScriptem działającym w przeglądarce.
Słaby punkt można wykorzystać w dowolnej aplikacji z zintegrowana przeglądarka i wpływa na każdą stronę internetową w Internecie, biorąc pod uwagę, że nie mówimy o nowej metodzie phishingowej, ale o prostym monitorowaniu tego, co wpisujemy w aplikacji. Dzięki tej metodzie dowolna aplikacja może ukraść nasze dane logowania do stron internetowych, hasła do wszelkiego rodzaju kont, dane kart płatniczych i praktycznie dowolne informacje, o które może nas poprosić witryna internetowa.
Niestety, obecne zasady Apple dotyczące przeglądu aplikacji nie zgadzają się z tym zaleceniem ani z wcześniejszą implementacją Twitterrific. Właśnie dlatego nasza aktualizacja dla iOS 8 została opóźniona — po raz pierwszy od uruchomienia App Store nie otrzymaliśmy nowej wersji w dniu premiery.
Chociaż istnieją metody rozwiązania problemu, polegają one na wykorzystaniu oprogramowania innych firm, którego Apple nie dopuszcza w aplikacjach, więc do czasu aktualizacji webkita luka pozostaje aktualna. Niestety, to wszystko iOS 7I iOS 8 są dotknięte tą luką i należy zachować ostrożność podczas korzystania z aplikacji ze zintegrowaną przeglądarką.
