Lo scenario:Buone pratiche nel trattare con l'abuso di schema URL personalizzato per rendere attacco di phishing ios
Un'applicazione web che una volta che un nuovo utente completa la registrazione, una e-mail verrà inviato, contenente un URL che una volta toccato da un dispositivo iOS, verrà lanciata l'app iOS. Questo scenario è uno scenario classico per consentire agli utenti di utilizzare l'app mobile.
Durante l'implementazione (utilizzando lo schema URL), iniziamo a chiederci quanto è sicuro questo metodo? Teoricamente - un'applicazione dannosa potrebbe firmare fino allo stesso schema URL, e secondo Apple:
Nota: Se più di un app di terze parti registra per gestire lo stesso schema URL, non esiste attualmente alcun processo di determinazione a quale app verrà assegnato questo schema.
Implementing Custom URL Schemes by Apple
In tale scenario, se un utente sta colpendo l'url all'interno della posta elettronica, non si sa quale dei due (o più applicazioni) sarà lanciato - il nostro o quello dannoso. Diciamo che è stata lanciata un'app diversa - se è davvero dannosa, in teoria potrebbe simulare la pagina di accesso della nostra app e prendere le credenziali dell'utente.
Esistono buone pratiche che gestiscono tale scenario? Ho letto molti articoli riguardanti il problema, tutti affermano che l'unica soluzione è aspettare che Apple renda unici questi schemi di URL. example1, example2
Mi piacerebbe sentir parlare di qualsiasi soluzione al problema, se esiste, Grazie in anticipo!
Queste opzioni sono molto interessanti, eppure, come hai detto, significherebbe la soluzione solo per un dispositivo. Le voci su iOS9 sono che si concentrerà sulla sicurezza (insieme a stabilità e ottimizzazioni), quindi forse la soluzione attesa (di Apple che risolve il problema) è dietro l'angolo. Molte grazie! – goldengil