来自 iOS 应用程序的网络钓鱼：可能吗？

Question

我刚刚尝试今天下载的这个新应用程序，从应用程序内 WebView 登录的常见社交网络让我产生了一些疑问...

是否有可能某些应用程序需要从应用程序内 WebView 登录 Twitter/FB/Google（不是Safari 或他们自己的应用程序（如 FB）会以某种方式记录我们在这些 WebView 中写入的数据，然后再将请求发送到网站，就像常见的网络钓鱼诈骗一样？

例如，我知道使用 oAuth 的 Twitter 登录会从 div 捕获 PIN 码，并将其用于 API 等。所以，也许文本字段也会发生同样的情况，对吧？不？

无论如何，这只是一个愚蠢的问题，但我想我会问。

谢谢！

Answer 1

是的，通过 UIWebView 进行网络钓鱼是可能的，通过 将 JavaScript 注入其中。这可能是 Facebook 的 SDK 现在打开 Safari 应用程序而不是作为应用程序内的灯箱的部分原因。

Answer 2

任何应用程序在Apple应用程序商店发布之前都会经过Apple的审查是否存在恶意等。因此我们可以说从Apple官方商店下载的应用程序是相对安全的。当然，有些应用程序可能存在未被注意到的安全问题，但网络钓鱼很容易被专业人员检测到。我不确定，但我猜他们会检查应用程序是否使用加密进行身份验证，以及应用程序是否直接登录 Twitter/FB/Google 或进行 MITM。

Answer 3

无论何时使用 JavaScript 引擎，网络钓鱼都有可能发生（除非输入框按摩输入）。