用户数据
一旦用户登录,应用程序开发人员还可以访问完整的HTML DOM + JavaScript数据和事件,这意味着他们可以完全访问用户所看到的任何内容。其中就包括你的电子邮件,你的亚马逊订单历史记录,你的朋友列表或你从应用内浏览中访问的任何其他数据及网站的内容。
HTTPs
目前市面上流行的网络浏览器都有一套通用的标准化的安全运行提示方式,比如URL旁边的SSL证书。但在在自定义应用内浏览器的情况下,应用程序的开发者将要求用户手动同意添加SSL证书等安全标识,这意味着你信任应用程序的开发人员,但实际上它们毫无安全意义可言,与普通浏览器SSL证书标识根本不是一回事。
广告
自定义应用内的浏览器允许所有应用开发者将自己的广告系统注入到显示的任何网站中,不仅如此,他们还可以替换已在原有网站上显示的广告,这样应用的收入就会大幅提高。
以上只是应用内浏览器的缺陷中的一部分,更多的缺陷还有待进一步发现。
缓解措施
千万别使用SFSafariViewController的应用或直接启动应用程序内的第三方网站,不过也有例外,如果使用webview来显示部分界面或动态内容,但使用webview显示链接或第三方网站应该是非法的。