12

あなたのモバイル デバイスにインストールされているゲーム X が、ソーシャル ネットワーク Y からあなたのアカウント情報にアクセスしようとしているシナリオを想像してください。Y が何らかの API を公開し、「Y でログイン」などの機能を備えているとします。デスクトップ PC では、X は新しいブラウザーをポップアップする可能性があります。アドレス バーに Y のドメインが明確に表示され、SSL 接続を明確に示す南京錠のアイコンが表示されます。このポップアップで、ソーシャル ネットワーク Y はユーザーにログイン、パスワード、およびいくつかの情報 (名前、アバター、たとえば、OAuth 2 はこのアプローチを使用します。

私の意見では、アプリケーション X が画面全体を制御できるため、モバイルでは状況がかなり異なります。特に、実際のブラウザと見分けがつかないものをデバイスの画面に描画し、ユーザーが提供するログインとパスワードを乗っ取る可能性があります。

画面全体を覆い、ブラウザや OS の設定ウィンドウなどを装う悪意のあるアプリケーションと戦うにはどうすればよいでしょうか?

4

3 に答える 3

3

デスクトップであっても、これに対する技術的な防御はありません。ブラウザの外観を模倣して、緑色の SSL ロックを偽のアドレス バーに描画するのは簡単です。または、アプリケーションにキーロガーを含めるだけで、同じシステム上の任意のアプリケーションに入力されたパスワードを取得できます。

キー ロガーを含むモバイル アプリケーションの場合は、より困難です。説得力のある偽のブラウザ ウィンドウを描くのは簡単です。追加の防御策は、アプリ ストアのレビュー プロセスです。信頼できるアプリの唯一のソースとしての公式アプリ ストアは、このような問題をある程度軽減します。悪意のあるアプリはレビュー プロセスを通過する可能性がありますが、発見されたら削除できます。

于 2014-09-05T09:23:15.777 に答える
2

ホームボタンをダブルクリックすると、アプリ名が表示されますか?
iOS の例

于 2014-09-04T23:38:11.160 に答える