Come verificare che le finestre di dialogo di accesso social in-app siano protette?

Naviga le tue risposte
23

Se ho un'app mobile che supporta qualche tipo di funzionalità di accesso social, ad esempio, per accedere all'app dal mio account Facebook, e se l'app apre la pagina di accesso di Facebook all'interno dell'app su un cellulare, c'è qualche modo per verificare che io sia effettivamente collegato al sito di Facebook?

Si tratta di un'app che mi consente di sincronizzare la foto del profilo Instagram con i miei contatti telefonici. Mi fido di questa app e, una volta effettuato l'accesso, devo accettare le autorizzazioni dell'app.

Il problema è che i collegamenti non si aprono in un browser standard e non riesco a controllare l'URL. Se qualcuno dovesse creare un'app, aggiungere un tale pulsante di accesso e aprire un sito falso per raccogliere la mia password, mi sembra abbastanza probabile perché non riesco a vedere alcuna informazione sul certificato HTTPS EV o per non parlare dell'URL della pagina di accesso.

  • come consumatore, come posso assicurarmi che tali pagine di accesso integrate siano legittime?
posta Ayesh K 24.01.2016 - 08:42
fonte

2 risposte

19

Non puoi, almeno non prima che gli sviluppatori di sistemi operativi mobili interrompano definizione prioritaria di UX su sicurezza .

Per ora il meglio che puoi fare è assicurarti che l'app che utilizzi provenga da uno sviluppatore legittimo e fidato, e le credenziali che chiedi sono correlate alla funzione dell'app (un'app di foto che richiede le credenziali di Instagram) postare su di esso sembra a posto, ma la stessa app fotografica che richiede le credenziali di Spotify sarebbe più sospettosa). Inoltre, dovresti considerare quel particolare account compromesso dallo sviluppatore dell'app, quindi non dovresti usare quell'account per le informazioni che non desideri vengano visualizzate. Su alcuni siti che non revocano i token OAuth sulle modifiche delle password, una soluzione per impedire futuri accessi non autorizzati (al di fuori del flusso legittimo OAuth) potrebbe modificare la password. Dato che il token OAuth sarebbe ancora valido, la funzionalità legittima dell'app dovrebbe continuare a funzionare, ma i tentativi di accesso furtivi utilizzando la password raccolta non sarebbero più validi. Naturalmente, questo non è a prova di proiettile in quanto un'applicazione davvero dannosa potrebbe probabilmente avere un bot in esecuzione sui loro server che cambia l'e-mail e la password del tuo account nel momento in cui lo inserisci, impedendoti di accedere al tuo account.

A lungo termine, la soluzione sarebbe quella di esercitare pressione sugli sviluppatori di sistemi operativi mobili per interrompere le assurdità descritte nel mio primo collegamento o almeno fornire un'alternativa WebView sicura controllata dal sistema operativo che le app possono utilizzare per richiedere le credenziali. Che WebView dovrebbe dimostrare all'utente che è effettivamente controllato dal sistema operativo (facendo qualcosa che le normali app non possono, come l'intercettazione di un pulsante home press) e mostra chiaramente l'URL richiesto dall'app in modo che non possa tentare di visualizzare un sito di phishing.

    
risposta data 24.01.2016 - 15:05
fonte
6

Questo mi è appena successo. Ciò che ho fatto non è attendibile e seguire questi passaggi:

  1. Verifica i dispositivi collegati nel mio Facebook e ricevo le notifiche per i nuovi dispositivi.
  2. Cambia la mia password di Facebook in qualcosa di casuale che mi ha dato il mio gestore di password.
  3. Digita tale password nella vista in-app
  4. Cambia nuovamente la mia password di Facebook in un'altra cosa. NON effettuare il logout da tutti i dispositivi quando richiesto.
  5. Controlla tutto è in ordine.

In questo modo, so per certo che sono l'unico ad essere connesso in quel momento e che nessuno ha una password di Facebook valida.

Tuttavia, è un PITA poiché la stessa app potrebbe chiedermi di confermare l'identità in futuro e fare ogni volta questa procedura è davvero scomodo .

    
risposta data 06.11.2016 - 11:32
fonte

Leggi altre domande sui tag

Quali codici di stato HTTP sono interessanti dal punto di vista della sicurezza? Qual è la differenza tra Diffie Hellman generator 2 e 5?