Proponha uma correção, faça uma sugestão
Apps iOS que usam browser têm grave problema de segurança
Esta semana tem sido muito complicada para os lados de Cupertino. Depois de começar muito bem com a apresentação dos valores de vendas do novo iPhone 6, depressa começaram os problemas nos novos iPhones que dobravam com demasiada facilidade e continuou com a confusão que o iOS 8.0.1 gerou.
Mas ainda não terminámos a semana e mais um problema surge, desta vez no iOS 8 e nas versões anteriores. O problema, que é de segurança, está associado às funções de browser que qualquer aplicação pode usar e aos dados que estas têm acesso.
O problema de segurança que agora surgiu associado ao iOS leva a que qualquer aplicação que use a função de incorporação do browser possa recolher todos os dados que o utilizador preencher os formulários apresentados.
Esta funcionalidades não desejada foi descoberta por Craig Hockenberry, um programador que se dedica a criar aplicações para o sistema operativo móvel da Apple.
A falha leva a que qualquer aplicação, mesmo as que não indiquem a utilização da função de browser ao utilizador, possam recolher todos os dados que estes coloquem nos formulários que surjam nas páginas web que sejam apresentadas.
Ao fazer essa recolha qualquer aplicação pode depois enviar os dados para qualquer ponto externo para serem explorados.
Na prática, e para demonstrar a forma de explorar esta falha, qualquer janela ou pop-up que surja para autenticação pode ver registados os dados escritos pelo utilizador.
Para demonstrar esta falha Craig Hockenberry criou uma aplicação que consegue provar de forma clara o problema. Os dados do utilizador ao serem introduzidos no formulário da página são depois apresentados na própria aplicação.
Existem algumas considerações que devem ser tomadas em consideração sobre o que é apresentado no vídeo e que revelam a forma esta falha pode ser explorada
The information at the top of the screen is generated by the app, not the web page. This information could easily be uploaded to remote server.
This is not phishing: the site shown is the actual Twitter website. This technique can be applied to any site that has a input form. All the attacker needs to know can easily be obtained by viewing the public facing HTML on the site.
The app is stealing your username and password by watching what you type on the site. There’s nothing the site owner can do about this, since the web view has control over JavaScript that runs in the browser.
Esta é uma falha segurança muito grave e que a Apple deve resolver o mais depressa possível. Com uma muito simples aplicação os dados mais sensíveis do utilizador podem ficar expostos e acessíveis a qualquer um.
Basta apresentar um simples login do Google ou Facebook, que podem até ser reais e verdadeiros, e depressa se recolhem dos dados do utilizador de acesso a esses serviços.
Lembrem-se que até um simples browser como o chrome da Google faz uso desta funcionalidade e por isso pode aceder também a esses dados e registá-los.
Esta não é a melhor forma de terminar a semana, mas a Apple tem muito trabalho à sua frente para resolver todos estes problemas do iOS 8 e este é apenas mais um que será tratado muito em breve.
O único conselho de segurança que pode para já ser dado aos utilizadores é que evitem a todo o custo colocar dados de acesso a serviços web em aplicações que não seja o browser da Apple para iOS.
Este artigo tem mais de um ano
Loading ...
Oh Nelson, tens alguma coisa a dizer?
Tenho, tenho a dizer que é idiota, se metem a password numa janela de browser de uma app, é a mesma coisa que dar a password à app.
Genius! Dêm um prémio ao homem
O meu avô dizia: o pior cego é aquele que não quer ver 😉
Deixa lá o moço em paz 😉
Vou só citar o cometáro dio Nelson em relação a updates …
“O pessoal do Android e Windows Phone queria era ter updates como este… num só update de software, eles dão-nos TouchID e rede celular!
Queria ver updates como este “nos outros”…”
Quando é que sai o update que resolve o problema de que qualquer app no Android tem acesso root, mesmo sem ter root instalado.
Não vi nenhum update a nenhum Android que ficasse sem rede… Que é uma vergonha daquelas ainda mais demorarem 24h a resolver o caso. Só não vê vergonha nisto, quem é pago pele Apple para a bajular. Quando acontecer isto em Android, vem cá falar, até lá, lida com a vergonha de update, e, pelo menos neste caso não foi copiar a concorrência como anda ultimamente a fazer.
Ó moço, isso é que é mesmo uma daquelas 🙂
Ora pesquisa lá por “Android update wifi problems”.
http://forums.androidcentral.com/htc-one/359579-htc-one-problems-after-kitkat-4-4-update-wifi-google-tts.html
Só não há mais, porque também updates no Android? É para esquecer…
É feio atirar areia para a cara das pessoas. Um telemóvel, ou um Modelo ficar com o wifi a funcionar irregularmente depois de um update não é um problema grave, hard-reset e passa.
Deixar de ter rede móvel, que é algo basicamente num telemóvel, é simplesmente uma vergonha que NUNCA aconteceu em nenhum update oficial do Android.
Não tentes atirar areia para lado nenhum, nem defender o indefensável, é uma vergonha sem qualquer desculpa deixar pessoas sem uma funcao básica de um telemóvel durante 24h. Repito, uma VERGONHA que NUNCA aconteceu na concorrência.
A Apple assim não vai durar 4 anos, escreve o que digo.
Procura por Sansung S4 mini duos network problems. Nem com vários updates corrigiram!
Apaguem isto, ninguém pode saber… precisamos de mais leaks de famosos (e não só!)! 🙂
No, this is not a WebKit bug.
The Shadow DOM does a great job of protecting static user content on a web page. It’s not possible to use JavaScript to view the contents of an input field on iOS since the current value attribute is actually being held in a platform-native control. The value of that control is uploaded when the user submits a .
I don’t know for sure, but I suspect that the keyCode attribute of the KeyboardEvent in the JavaScript event handler is provided for backward compatibility. This API has been deprecated but there are still plenty of web pages out there that use it to handle keyboard input.
In fact, both the techniques shown in the sample app can be used for good as well as evil. Changing the content of a web page is a good thing when it’s done to make a page more readable or accessible. Handling keyboard events can also guide a user through a complex form or make viewing a slide show easier.
These are not inherently bad web technologies. The problem is that an iOS app has as much access to these technologies as the developer of the web page.
It’s also very easy to an app to hide any nefarious activity. JavaScript has an eval() function that makes it easy for code to be obfuscated and very difficult to be checked at review time. Look at this page and see if you can guess how the uppercase text was created. Then view the HTML source and see how wrong you were.
Additionally, an app that wants to collect your information can easily implement a remote switch that disables the functionality while the app is in review. App reviewers won’t stand a chance.
Por falar nisto os plugins do chrome têm a mesma funcionalidade em qualquer plataforma.
Abc
parece-me ter ouvido dizer q o android tinha um problema grave de segurança que ja dura mais de DOIS anos e que continua por resolver.
que giro, ninguem comenta este meu comentario ????? pois, nao interessa, o bota abaixo é só contra a marcazita da maçã, eles é q teem defeitos, problemas, falhas etc, os outros sao uns santinhos virgens. bahhhhhhhh
nao vais chorar pois nao?
Que problema de segurança é esse?
Pergunto com genuíno interesse.
aqui vai Bruno
https://pplware.sapo.pt/informacao/descoberto-mais-um-bug-no-android-que-deixa-milhoes-vulneraveis/
Continua sem resolver?
http://www.zdnet.com/google-fixes-androids-fake-id-security-hole-7000032108/
Here’s the good news: Google has patched the hole and it hasn’t been exploited yet.
De nada.
“It’s not present in Android 4.4.x, KitKat.
Here’s the good news: Google has patched the hole and it hasn’t been exploited yet.”
http://www.zdnet.com/google-fixes-androids-fake-id-security-hole-7000032108/
O Android dá-te hipótese de ficares em segurança dentro da store ou de arriscares fora dela, a escolha é tua, ao contrário da Apple onde não tens escolha, é essa a diferença.
António, a questão fundamental não é essa, obviamente todos o Smartphones com os seu variados SO tem e terão sempre problemas de segurança, só quem não vive neste mundo inundado tecnologicamente e tem palas nos olhos ou é de diminuto grau intelectual é que poderá achar que haverá segurança tecnológica. Agora o fundamental é facto de pessoal que é súbdito da Apple e inclusivamente a empresa Apple dizer que o IOS é segurissimo em todos os aspectos e agora surgirem constantemente relatos de extrema insegurança.
Eh pá, eu até gosto bastante da Apple, mas isto já começa a ser incompetência de alguém. Certamente isto com o Steve Jobs não acontecia (ou então acontecia bem menos) mas ou alguém não anda a fazer o trabalho como deve ser, ou então alguém não percebe muito do que faz/testa/lança.
Se o meu departamento tivesse tantas falhas/problemas como os que têm saído, eramos todos despedidos num instante.
Nao estando a desculpar ninguém nem a fazer comparações do trabalho, na empresa onde trabalha fazem sistemas operativos? Acredito que ninguém te despedisse por isto… Até porque este problema já deve existir há alguns anos e só agora foi descoberto…
Vocês já viram a quantidade de patches que são lançados por exemplo para o Windows/MacOS e mesmo algumas distribuições Linux?
Não estou a desculpar nem a retirar a importância deste problema (que deve ser rapidamente corrigido agora no 8.0.3 visto que o 8.0.2 já foi lançado), mas acredito que isto vai ser corrigido rapidamente não?
Obvio que nada sai bem à primeira, seja o que for. Mas estava a referir-me a uma forma geral do que tem acontecido ultimamente. Seja a cena do 6plus a dobrar, seja o iOS 8 ter alguns problemas, seja o update 8.0.1 causar mais problemas do que os que resolve e ter sido logo retirado, seja agora esta falha de segurança, etc.
Se for como o Jorge Carvalho diz, e não ser de facto um bug do iOS, então qual é a solução? Todos os developers alterarem as apps?
Podes ter a certeza, que no meu trabalho (Barclays) teria de sair bem à primeira.. Por alguma coisa existem ambientes de teste. Foi uma correção com problemas (8.0.2) por cima de outra correcção que tinha problemas e saltou logo do ar (8.0.1).
O controlo e qualidade na Apple anda muito apático ultimamente.
Não , não é um bug. Para alterar teriam que proibir todas as aplicações de terem uma “browser” próprio como ate o facebook tem. E mesmo assim não haveria garantia que o developer não tinha más intenções
A maneira de isto não acontecer é não usares os browsers que vem “dentro” das aplicações.
Abc
Não é um bug , é o facto das Apps poderem ter o “seu” próprio browser que levanta este problema. Existe o mesmo problemas em todas as plataformas com plugins do Chrome.
A unica solução seria a Apple obrigar todos os devs a usarem o safari para expor sites e isso não é possível dentro de uma aplicação.
Abc
Será então um problema do novo Webkit?
Não, não há absolutamente problema nenhum nisto. Se introduzires a password na app, claro que a app tem acesso à password, lá por estar numa webview…
Não. Alias o propio autor assim o diz : “No, this is not a WebKit bug.”
È o problema que quem faz as aplicações pode ter um browser a correr dentro da sua aplicação. E mesmo que procures no código para ver se ele faz algo maldoso isso pode ser ofuscado.
A solução seria a Apple não permitir Apps (para já ) com web browsers integrados.
Abc
A Apple está a viver uma autêntico “Setembro horribilis”. Este iOS8 tem-se revelado tremendamente negativo para a Apple. Não tenho memória de tanta trapalhada e tiros no pé como ao que temos vindo a assistir. Como ficará o capital de confiança da marca junto dos seus usuários!? Ele é o iCloudgate, iOS8trapalhada, a dobradinha do iPhone e agora esta da falta de segurança relacionada com as Apps. O que virá a seguir?
Cumps.
Melo
Olha o Melro 😉
Tens lido os comentários de outros, ou só lês as centenas que escreves? É que depois de leres é melhor pores a viola no saco 🙂
Melro que canta assim já comeu muita minhoca não é o Benchmark do iPhone 6?
Derrepente fico com a sensação que o que o Melo disse não é verdade, e ainda se esqueceu de mais uma questão, e o icloud lembras o que aconteceu alem dos outros problemas que ele referiu? Sabes em quanto tempo a apple bateu estes recordes de desastres todos? em apenas 1 mês e pouco, e tu que pelos vistos estas atento, gostas de ouvir isto vindo da apple, e estas satisfeito com o que até te poderia não ter acontecido? Agora quem diz para meter a viola ao saco sou eu e siga viagem 🙂
– O iCloud? Lembro, e dos posts e dos teus comentários sobre os ataques do iBrute – uma viola que tiveste que meter no saco.
– O iOS 8.0.1? Lembro, trouxe problemas para alguns utilizadores do iPhone 6 e 6+, porque os programadores ainda não conheciam bem as suas especificidades de hardware. A ideia que foi lançada de um erro geral – é mais uma viola para o saco.
– As 9 queixas de iPhone que dobraram, em 6 dias de vendas, quando em 3 dias foram vendidos – 10 milhões? Essa é mesmo para o saco.
Mas afinal, quantas violas já tiveste que meter no saco? Já nem têm conta. Persiste que arranjas sempre qualquer coisinha. Pesquisa que deve haver alguém a dizer que o iPhone dele tem um risco 🙂
P.S. Quando tiveres o Note 4 diz-me que eu experimento se dobra 🙂
Fui ler a fonte. Agora não tenho muito tempo para escrever, mas há uma frase no post que me preocupa.
“Lembrem-se que até um simples browser como o chrome da Google faz uso desta funcionalidade e por isso pode aceder também a esses dados e registá-los.” Traduzindo em miúdos, qualquer browser de terceiros seria inseguro.
Sendo certo que o Safari está rodeado de especiais medidas de segurança – toda a gente sabe, mas se se esquecer, a notícia tem o mérito de o lembrar – a notícia não é sobre browsers, não há qualquer vulnerabilidade no WebKit, como o autor faz questão em destacar (ver link do post “descoberta”).
O que se está a referir é a apps com capacidade de navegação que apresentem caixas de inserção de credenciais que se podem confundir com os das páginas web – preenche-se a caixa e uma “app mal intencionada” captura essas credenciais. Como o autor refere essa facilidade tanto pode ser usada para o bem como para o mal.
Recomendo a leitura do texto original. O do post, a começar no primeiro parágrafo, está embrulhado em sensacionalismo.
Posso ter percebido mal, mas o que isso quer dizer é que browsers como o Chrome *no iOS* basicamente são contentores do Safari, para terem as vantagens de performance que só o Safari tem no iOS (e, além disso, tanto o Safari como o Chrome têm por base o WebKit da Apple). E por isso, têm acesso ao que o utilizador escreve dentro do componente browser.
Browsers “normais” que não são contentores, obviamente têm acesso a tudo o que se escreve em todas as páginas web, e a tudo o que se clica. Isso não é evidente para toda a gente?
O chrome já não usa o webkit
Abc
Olha para a 2ª imagem (video do post). Não há lá uma caixa de uma app para introduzir o nome e a password?
Introduz-se essa informação na caixa (é neste momento em que pode ser capturada, se a app for “maliciosa”), com vista a permitir à app preencher automaticamente as credenciais para fazer o login num site.
Foi isso que mostrou o autor da notícia, através de uma app que ele criou, para acesso ao Twitter (por graça, em baixo, em vez de “sign in” escreveu “suck it up”).
Se, em disso, se se estivesse a aceder à página web do Twitter através de um browser (para desktop ou mobile), preenchia-se a caixa dessas credenciais na página web de login no site – sendo certo que o o browser não pode capturar essas credenciais (num site seguro, o site também não).
Então a notícia nada tem a ver com browsers, leia-se, com o acesso a páginas web através de browsers e em que se preenche as credenciais manualmente no próprio site. Tem que ver com apps com capacidade de navegação e que apresentam caixas para introduzir as credenciais (e que as podem capturar).
A solução é aceder aos sites através do Safari e fazer o login diretamente nos sites (o Safari também tem o Keychan, para guardar credenciais de forma encriptada, para preenchimento automático de credenciais).
Quer-se usar apps em que, primeiro, se lhes dá as credenciais para a seguir preencher automaticamente o login nos sites – corre-se o risco de alguma app ser de gente “mal intencionada”. É isto que o autor quer dizer ao referir que tanto pode ser usado para o bem (simplifica o acesso) como para o mal.
Tudo mentiras… O iOS não tem problemas de segurança.
+1
Simples…
Perfeito perfeito é isto…
http://www.bestnetleiloes.com/pt/leiloes/oportunidades-11/telefone-anos-70
barato e so tem um BUG…quando toca chateia a sirene…
Contudo as marcas agradecem as vossas guerrinhas…é tao fofo vermos duas pessoas a “discutir” por causa de dois equipamentos que pagam balurdios para serem beta testers e ainda por cima discutirem “O meu é melhor que o teu” “o meu faz mais isto que o teu” …
Enfim, a industria perdura pq estamos numa fase em que os olhos comem e a tecnologia leva-nos a que de certa forma dá jeito ter um “brinquedo” destes mas esquecemo-nos que praticamente damos a nossa vida ao Mundo sem nos realmente apercebermos…
E nao esquecendo…testamos os equipamentos e sistemas para o qual pagamos para ter…
Realmente a Apple anda a ter um tempo complicado, contudo todo o Mundo critica a Apple mas esquecem os demais sistemas, mas é bonito criticar a Apple, pq é um equipamento caro, pq é um equipamento com status etc etc e mts criticam pq ou nao podem ter um, ou pq cansaram e mudaram ou simplesmente detestam…
Eu uso Android pq me dá jeito, mas é interessante, que recentemente instlei uma app no meu android e no da minha esposa que ao colocar os dados para aceder a app apresenta um erro de ligação, como se nao tivesse rede/wifi, e o mesmo testado no mesmo minuto com um iOS funcionou à primeira…
Criticamos a segurança e etc…mas depois “colocam” a vida no facebook ou outras redes sociais…enfim…não se entende…
Contudo espero que a Apple recupere desdes dias menos positivos!
Já te esqueceste do “problema” do álbum dos U2? No pplware deu 2 posts (dois). Dos “problemas complicados” a que te referes para a semana já ninguém se lembra 🙂
a Apple leva tudo muito caro, 799€ para ter um telefone que se dobra e ter as fotos espalhadas pela net….
Mas fica muito bem em cima da mesa do café
Não, por causa da câmara saliente…