どうもハンサムクロジです。
iPhoneでは、Safari以外のブラウザでパスワードの入力などをしない方がいいかもしれません。
Twitterクライアントアプリ「Twitterrific」の開発者の一人であるクレイグ・ホッケンベリー氏が、アプリ内ブラウザで文字入力の監視ができることを明らかにしました!
ユーザーがキーボードで入力した内容をリモートサーバーに送信することも簡単にできてしまうとのこと……。これはちょっと怖いです!
パスワードやIDが筒抜けになっている可能性
以下がどのように監視される可能性があるかを再現した映像です。ご覧ください!
映像はデモ用アプリを使ったテストとなっています。Twitterクライアントアプリの体で、Twitterアカウントを連携するためにログインを促すという挙動から、アカウントIDとパスワードを盗みだしています。
以下はログイン画面。入力した内容がアプリ側に読み取られて画面上部に表示されているのが分かるでしょうか。アカウントIDはもちろん、普通は隠されているはずのパスワードも丸見え状態となっています!!
Twitterへのログインならまだ良いですが、AmazonやPayPalといったサイトにログインしてデータを盗み見られる可能性があると思うと怖くなっちゃいますね……。
例えばクレジットカード情報それ自体はもちろん、クレジットカードを使えるように設定してあるAmazonや楽天などといったショッピングサイトの情報などもSafari以外のアプリで入力しない方が良いでしょう。
また、どんな会社がリリースしているのかよく分からないような信頼性の低いアプリでの入力は、特に気をつけた方が良いと思われます!
これはアプリ側で適用するものなのでサイト側で対処することも不可能とのこと。
ユーザー側としては、今のところSafari以外のアプリで不用意に各種ウェブサービスにログインしないという対応しかできなさそうです。このままでは不安すぎるので、Appleには早急に何かしらの対応していただきたいですね!!
