Quantcast
PplWare Mobile

Apps iOS que usam browser têm grave problema de segurança

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Eu says:

    Oh Nelson, tens alguma coisa a dizer?

  2. Pedro says:

    Vou só citar o cometáro dio Nelson em relação a updates …

    “O pessoal do Android e Windows Phone queria era ter updates como este… num só update de software, eles dão-nos TouchID e rede celular!
    Queria ver updates como este “nos outros”…”

    • Nelson says:

      Quando é que sai o update que resolve o problema de que qualquer app no Android tem acesso root, mesmo sem ter root instalado.

      • Androidano says:

        Não vi nenhum update a nenhum Android que ficasse sem rede… Que é uma vergonha daquelas ainda mais demorarem 24h a resolver o caso. Só não vê vergonha nisto, quem é pago pele Apple para a bajular. Quando acontecer isto em Android, vem cá falar, até lá, lida com a vergonha de update, e, pelo menos neste caso não foi copiar a concorrência como anda ultimamente a fazer.

  3. Luis says:

    Apaguem isto, ninguém pode saber… precisamos de mais leaks de famosos (e não só!)! 🙂

  4. Jorge Carvalho says:

    No, this is not a WebKit bug.

    The Shadow DOM does a great job of protecting static user content on a web page. It’s not possible to use JavaScript to view the contents of an input field on iOS since the current value attribute is actually being held in a platform-native control. The value of that control is uploaded when the user submits a .

    I don’t know for sure, but I suspect that the keyCode attribute of the KeyboardEvent in the JavaScript event handler is provided for backward compatibility. This API has been deprecated but there are still plenty of web pages out there that use it to handle keyboard input.

    In fact, both the techniques shown in the sample app can be used for good as well as evil. Changing the content of a web page is a good thing when it’s done to make a page more readable or accessible. Handling keyboard events can also guide a user through a complex form or make viewing a slide show easier.

    These are not inherently bad web technologies. The problem is that an iOS app has as much access to these technologies as the developer of the web page.
    It’s also very easy to an app to hide any nefarious activity. JavaScript has an eval() function that makes it easy for code to be obfuscated and very difficult to be checked at review time. Look at this page and see if you can guess how the uppercase text was created. Then view the HTML source and see how wrong you were.

    Additionally, an app that wants to collect your information can easily implement a remote switch that disables the functionality while the app is in review. App reviewers won’t stand a chance.

    Por falar nisto os plugins do chrome têm a mesma funcionalidade em qualquer plataforma.

    Abc

  5. Antonio Ferreira says:

    parece-me ter ouvido dizer q o android tinha um problema grave de segurança que ja dura mais de DOIS anos e que continua por resolver.

  6. Bruno says:

    Eh pá, eu até gosto bastante da Apple, mas isto já começa a ser incompetência de alguém. Certamente isto com o Steve Jobs não acontecia (ou então acontecia bem menos) mas ou alguém não anda a fazer o trabalho como deve ser, ou então alguém não percebe muito do que faz/testa/lança.

    Se o meu departamento tivesse tantas falhas/problemas como os que têm saído, eramos todos despedidos num instante.

    • Daniel Pinto says:

      Nao estando a desculpar ninguém nem a fazer comparações do trabalho, na empresa onde trabalha fazem sistemas operativos? Acredito que ninguém te despedisse por isto… Até porque este problema já deve existir há alguns anos e só agora foi descoberto…

      Vocês já viram a quantidade de patches que são lançados por exemplo para o Windows/MacOS e mesmo algumas distribuições Linux?

      Não estou a desculpar nem a retirar a importância deste problema (que deve ser rapidamente corrigido agora no 8.0.3 visto que o 8.0.2 já foi lançado), mas acredito que isto vai ser corrigido rapidamente não?

      • Bruno says:

        Obvio que nada sai bem à primeira, seja o que for. Mas estava a referir-me a uma forma geral do que tem acontecido ultimamente. Seja a cena do 6plus a dobrar, seja o iOS 8 ter alguns problemas, seja o update 8.0.1 causar mais problemas do que os que resolve e ter sido logo retirado, seja agora esta falha de segurança, etc.

        Se for como o Jorge Carvalho diz, e não ser de facto um bug do iOS, então qual é a solução? Todos os developers alterarem as apps?

        • Pedro says:

          Podes ter a certeza, que no meu trabalho (Barclays) teria de sair bem à primeira.. Por alguma coisa existem ambientes de teste. Foi uma correção com problemas (8.0.2) por cima de outra correcção que tinha problemas e saltou logo do ar (8.0.1).

          O controlo e qualidade na Apple anda muito apático ultimamente.

      • Jorge Carvalho says:

        Não , não é um bug. Para alterar teriam que proibir todas as aplicações de terem uma “browser” próprio como ate o facebook tem. E mesmo assim não haveria garantia que o developer não tinha más intenções
        A maneira de isto não acontecer é não usares os browsers que vem “dentro” das aplicações.

        Abc

    • Jorge Carvalho says:

      Não é um bug , é o facto das Apps poderem ter o “seu” próprio browser que levanta este problema. Existe o mesmo problemas em todas as plataformas com plugins do Chrome.

      A unica solução seria a Apple obrigar todos os devs a usarem o safari para expor sites e isso não é possível dentro de uma aplicação.

      Abc

      • Nuno Gonçalves says:

        Será então um problema do novo Webkit?

        • Nelson says:

          Não, não há absolutamente problema nenhum nisto. Se introduzires a password na app, claro que a app tem acesso à password, lá por estar numa webview…

        • Jorge Carvalho says:

          Não. Alias o propio autor assim o diz : “No, this is not a WebKit bug.”

          È o problema que quem faz as aplicações pode ter um browser a correr dentro da sua aplicação. E mesmo que procures no código para ver se ele faz algo maldoso isso pode ser ofuscado.

          A solução seria a Apple não permitir Apps (para já ) com web browsers integrados.

          Abc

  7. Melo says:

    A Apple está a viver uma autêntico “Setembro horribilis”. Este iOS8 tem-se revelado tremendamente negativo para a Apple. Não tenho memória de tanta trapalhada e tiros no pé como ao que temos vindo a assistir. Como ficará o capital de confiança da marca junto dos seus usuários!? Ele é o iCloudgate, iOS8trapalhada, a dobradinha do iPhone e agora esta da falta de segurança relacionada com as Apps. O que virá a seguir?

    Cumps.
    Melo

    • Benchmark do iPhone 6 says:

      Olha o Melro 😉

      Tens lido os comentários de outros, ou só lês as centenas que escreves? É que depois de leres é melhor pores a viola no saco 🙂

      • Benchmark do Note 4 says:

        Melro que canta assim já comeu muita minhoca não é o Benchmark do iPhone 6?

        Derrepente fico com a sensação que o que o Melo disse não é verdade, e ainda se esqueceu de mais uma questão, e o icloud lembras o que aconteceu alem dos outros problemas que ele referiu? Sabes em quanto tempo a apple bateu estes recordes de desastres todos? em apenas 1 mês e pouco, e tu que pelos vistos estas atento, gostas de ouvir isto vindo da apple, e estas satisfeito com o que até te poderia não ter acontecido? Agora quem diz para meter a viola ao saco sou eu e siga viagem 🙂

        • Benchmark do iPhone 6 says:

          – O iCloud? Lembro, e dos posts e dos teus comentários sobre os ataques do iBrute – uma viola que tiveste que meter no saco.

          – O iOS 8.0.1? Lembro, trouxe problemas para alguns utilizadores do iPhone 6 e 6+, porque os programadores ainda não conheciam bem as suas especificidades de hardware. A ideia que foi lançada de um erro geral – é mais uma viola para o saco.

          – As 9 queixas de iPhone que dobraram, em 6 dias de vendas, quando em 3 dias foram vendidos – 10 milhões? Essa é mesmo para o saco.

          Mas afinal, quantas violas já tiveste que meter no saco? Já nem têm conta. Persiste que arranjas sempre qualquer coisinha. Pesquisa que deve haver alguém a dizer que o iPhone dele tem um risco 🙂

          P.S. Quando tiveres o Note 4 diz-me que eu experimento se dobra 🙂

  8. Benchmark do iPhone 6 says:

    Fui ler a fonte. Agora não tenho muito tempo para escrever, mas há uma frase no post que me preocupa.

    “Lembrem-se que até um simples browser como o chrome da Google faz uso desta funcionalidade e por isso pode aceder também a esses dados e registá-los.” Traduzindo em miúdos, qualquer browser de terceiros seria inseguro.

    Sendo certo que o Safari está rodeado de especiais medidas de segurança – toda a gente sabe, mas se se esquecer, a notícia tem o mérito de o lembrar – a notícia não é sobre browsers, não há qualquer vulnerabilidade no WebKit, como o autor faz questão em destacar (ver link do post “descoberta”).

    O que se está a referir é a apps com capacidade de navegação que apresentem caixas de inserção de credenciais que se podem confundir com os das páginas web – preenche-se a caixa e uma “app mal intencionada” captura essas credenciais. Como o autor refere essa facilidade tanto pode ser usada para o bem como para o mal.

    Recomendo a leitura do texto original. O do post, a começar no primeiro parágrafo, está embrulhado em sensacionalismo.

    • Carlos says:

      Posso ter percebido mal, mas o que isso quer dizer é que browsers como o Chrome *no iOS* basicamente são contentores do Safari, para terem as vantagens de performance que só o Safari tem no iOS (e, além disso, tanto o Safari como o Chrome têm por base o WebKit da Apple). E por isso, têm acesso ao que o utilizador escreve dentro do componente browser.

      Browsers “normais” que não são contentores, obviamente têm acesso a tudo o que se escreve em todas as páginas web, e a tudo o que se clica. Isso não é evidente para toda a gente?

      • Jorge Carvalho says:

        O chrome já não usa o webkit

        Abc

      • Benchmark do iPhone 6 says:

        Olha para a 2ª imagem (video do post). Não há lá uma caixa de uma app para introduzir o nome e a password?

        Introduz-se essa informação na caixa (é neste momento em que pode ser capturada, se a app for “maliciosa”), com vista a permitir à app preencher automaticamente as credenciais para fazer o login num site.

        Foi isso que mostrou o autor da notícia, através de uma app que ele criou, para acesso ao Twitter (por graça, em baixo, em vez de “sign in” escreveu “suck it up”).

        Se, em disso, se se estivesse a aceder à página web do Twitter através de um browser (para desktop ou mobile), preenchia-se a caixa dessas credenciais na página web de login no site – sendo certo que o o browser não pode capturar essas credenciais (num site seguro, o site também não).

        Então a notícia nada tem a ver com browsers, leia-se, com o acesso a páginas web através de browsers e em que se preenche as credenciais manualmente no próprio site. Tem que ver com apps com capacidade de navegação e que apresentam caixas para introduzir as credenciais (e que as podem capturar).

        A solução é aceder aos sites através do Safari e fazer o login diretamente nos sites (o Safari também tem o Keychan, para guardar credenciais de forma encriptada, para preenchimento automático de credenciais).

        Quer-se usar apps em que, primeiro, se lhes dá as credenciais para a seguir preencher automaticamente o login nos sites – corre-se o risco de alguma app ser de gente “mal intencionada”. É isto que o autor quer dizer ao referir que tanto pode ser usado para o bem (simplifica o acesso) como para o mal.

  9. LP says:

    Tudo mentiras… O iOS não tem problemas de segurança.

  10. David says:

    Simples…
    Perfeito perfeito é isto…
    http://www.bestnetleiloes.com/pt/leiloes/oportunidades-11/telefone-anos-70

    barato e so tem um BUG…quando toca chateia a sirene…

    Contudo as marcas agradecem as vossas guerrinhas…é tao fofo vermos duas pessoas a “discutir” por causa de dois equipamentos que pagam balurdios para serem beta testers e ainda por cima discutirem “O meu é melhor que o teu” “o meu faz mais isto que o teu” …

    Enfim, a industria perdura pq estamos numa fase em que os olhos comem e a tecnologia leva-nos a que de certa forma dá jeito ter um “brinquedo” destes mas esquecemo-nos que praticamente damos a nossa vida ao Mundo sem nos realmente apercebermos…
    E nao esquecendo…testamos os equipamentos e sistemas para o qual pagamos para ter…

    Realmente a Apple anda a ter um tempo complicado, contudo todo o Mundo critica a Apple mas esquecem os demais sistemas, mas é bonito criticar a Apple, pq é um equipamento caro, pq é um equipamento com status etc etc e mts criticam pq ou nao podem ter um, ou pq cansaram e mudaram ou simplesmente detestam…

    Eu uso Android pq me dá jeito, mas é interessante, que recentemente instlei uma app no meu android e no da minha esposa que ao colocar os dados para aceder a app apresenta um erro de ligação, como se nao tivesse rede/wifi, e o mesmo testado no mesmo minuto com um iOS funcionou à primeira…

    Criticamos a segurança e etc…mas depois “colocam” a vida no facebook ou outras redes sociais…enfim…não se entende…

    Contudo espero que a Apple recupere desdes dias menos positivos!

    • Benchmark do iPhone 6 says:

      Já te esqueceste do “problema” do álbum dos U2? No pplware deu 2 posts (dois). Dos “problemas complicados” a que te referes para a semana já ninguém se lembra 🙂

  11. Filipe Viola says:

    a Apple leva tudo muito caro, 799€ para ter um telefone que se dobra e ter as fotos espalhadas pela net….

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.