用戶數據
一旦用戶登錄,應用程序開發人員還可以訪問完整的HTML DOM + JavaScript數據和事件,這意味著他們可以完全訪問用戶所看到的任何內容。其中就包括你的電子郵件,你的亞馬遜訂單歷史記錄,你的朋友列表或你從應用內瀏覽中訪問的任何其他數據及網站的內容。
HTTPs
目前市面上流行的網絡瀏覽器都有一套通用的標準化的安全運行提示方式,比如URL旁邊的SSL證書。但在在自定義應用內瀏覽器的情況下,應用程序的開發者將要求用戶手動同意添加SSL證書等安全標識,這意味著你信任應用程序的開發人員,但實際上它們毫無安全意義可言,與普通瀏覽器SSL證書標識根本不是一回事。
廣告
自定義應用內的瀏覽器允許所有應用開發者將自己的廣告系統注入到顯示的任何網站中,不僅如此,他們還可以替換已在原有網站上顯示的廣告,這樣應用的收入就會大幅提高。
以上只是應用內瀏覽器的缺陷中的一部分,更多的缺陷還有待進一步發現。
緩解措施
千萬別使用SFSafariViewController的應用或直接啟動應用程序內的第三方網站,不過也有例外,如果使用webview來顯示部分界面或動態內容,但使用webview顯示鏈接或第三方網站應該是非法的。
分享到:
閱讀更多 網絡安全焦點 的文章
