Quali meccanismi di sicurezza sono disponibili per le tastiere personalizzate di iOS?

2

Apple ha appena annunciato iOS 8. La nuova versione sembra essere più estendibile rispetto alle versioni precedenti e una di le nuove possibilità sono di consentire agli sviluppatori di sviluppare tastiere personalizzate, diverse da quelle predefinite del sistema.

Android ha avuto questa funzione per un po 'di tempo. Su Android, quelle tastiere sono note come possibili minacce alla sicurezza, in particolare come keylogger .

iOS 8 impedisce che si verifichino comportamenti dannosi? In tal caso, quali meccanismi di sicurezza sono in atto?

    
posta DCKing 03.06.2014 - 13:11
fonte

3 risposte

1

C'è anche una funzione di sicurezza integrata nel sistema stesso, che impedisce alle tastiere di terze parti di digitare nei campi password: quando tocchi un campo password il sistema tornerà temporaneamente alla tastiera predefinita.

A proposito, non mi fiderei di Apple per verificare che le app non siano dannose. Molte app utilizzano librerie fornite dai fornitori di analisi e mentre le analisi sono di per sé spyware, alcune sono abbastanza incerte da trasmettere dati sensibili (posizione, nome, email) su un semplice HTTP e tuttavia vengono accettate correttamente nell'App Store.

    
risposta data 09.09.2014 - 14:56
fonte
1

Sì, queste app possono registrare ciò che stai digitando o generare eventi di input arbitrari al posto tuo . Non c'è quasi nulla che puoi fare per impedire ai processi che forniscono input di abusare dei loro privilegi.

Detto questo, ci sono alcuni fattori strutturali su come viene gestito l'input sulle interfacce mobili che limitano i rischi delle tastiere personalizzate (al contrario dei desktop):

  • L'input da tastiera viene utilizzato solo per l'input in-app e non per interagire con l'interfaccia utente del sistema, passare da un'app o lanciare app: questo rende alcuni attacchi impossibili come l'apertura di un terminale / app, digitando materiale personalizzato e chiudendo l'app dietro
  • Le app di input da tastiera probabilmente non richiedono una connessione a Internet o lo stato al di là di un'API imposta dal sistema operativo, rendendo più difficile il loro comportamento malintenzionato. Potrebbero ancora esserci app che utilizzano legittimamente una connessione Internet (ad esempio sincronizzare le parole personalizzate su più dispositivi) o IPC (leggendo le e-mail per prevedere le parole che usi spesso). Pertanto, il modo migliore per gestire i fornitori di input personalizzati è di concedere loro un'autorizzazione specifica per gestire l'input piuttosto che eseguirli in modalità non controllata. Questo è ciò che iOS fa apparentemente.
  • Secondo Andre (non ho controllato me stesso :-)), i campi di immissione della password sono sempre gestiti dalla tua tastiera nativa . Se questo è sempre un aspetto positivo è un dibattito - ad esempio, gli utenti di dispositivi mobili scelgono password notoriamente più deboli per ridurre il numero di modifiche di modalità da eseguire quando si digita una password e le tastiere con una migliore o più maneggevolezza personalizzabile di caratteri speciali potrebbe essere usato per digitare password più forti sulle interfacce mobili con un piccolo costo aggiuntivo.
risposta data 10.05.2015 - 16:21
fonte
0

Credo che la risposta sia abbastanza semplice A differenza di Android, Apple non ha più app store e l'app store ufficiale ha norme relativamente rigide in merito alla verifica delle app

In altre parole, anche se iOS 8 consente le tastiere personalizzate, è comunque necessario verificarle prima di essere caricate nell'app store. tuttavia questo non è il caso per i negozi di app non ufficiali e il dispositivo con la prigione è (come sempre) a rischio

Verifica di app / plugin a parte, in un sistema operativo relativamente chiuso come iOS, non è così difficile negare l'accesso a Internet di app / plug-in, rendendo quindi inutilizzabile un keylogger.

    
risposta data 11.06.2014 - 09:26
fonte

Leggi altre domande sui tag